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Resumen Ejecutivo 


Resumen Ejecutivo 

Para muchas empresas, la informacion y la tecnologfa que las soportan representan sus mas valiosos activos, aunque con frecuencia 
son poco entendidos. Las empresas exitosas reconocen los beneficios de la tecnologfa de informacion y la utilizan para impulsar el 
valor de sus interesados (stakeholders). Estas empresas tambien entienden y administran los riesgos asociados, tales como el 
aumento en requerimientos regulatorios, asf como la dependencia crftica de muchos procesos de negocio en Tl. 

La necesidad del aseguramiento del valor de Tl, la administracion de los riesgos asociados a Tl, asf como el incremento de 
requerimientos para controlar la informacion, se entienden ahora como elementos clave del Gobierno Corporativo. El valor, el riesgo y 
el control constituyen la esencia del gobierno de Tl. 

El gobierno de Tl es responsabilidad de los ejecutivos, del consejo de directores y consta de liderazgo, estructuras y procesos 
organizacionales que garantizan que Tl en la empresa sostiene y extiende las estrategias y objetivos organizacionales. 

Mas aun, el gobierno de Tl integra e institucionaliza las buenas practicas para garantizar que Tl en la empresa soporta los objetivos 
del negocio. De esta manera, el gobierno de Tl facilita que la empresa aproveche al maximo su informacion, maximizando asf los 
beneficios, capitalizando las oportunidades y ganando ventajas competitivas. Estos resultados requieren un marco de referenda para 
controlar la Tl, que se ajuste y sirva como soporte a COSO (Committee Of Sponsoring Organisations Of The Treadway Commission) 
Marco de Referenda Integrado - Control Interno, el marco de referenda de control ampliamente aceptado para gobierno corporativo y 
para la administracion de riesgos, asf como a marcos compatibles similares. 

Las organizaciones deben satisfacer la calidad, los requerimientos fiduciarios y de seguridad de su informacion, asf como de todos 
sus activos. La direccion tambien debe optimizar el uso de los recursos disponibles de Tl, incluyendo aplicaciones, informacion, 
infraestructura y personas. Para descargar estas responsabilidades, asf como para lograr sus objetivos, la direccion debe entender el 
estatus de su arquitectura empresarial para Tl y decidir que tipo de gobierno y de control debe aplicar. 

Los Objetivos de Control para la Informacion y la Tecnologfa relacionada (CobiT®) brindan buenas practicas a traves de un marco de 
trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y logica. Las buenas practicas de CobiT 
representan el consenso de los expertos. Estan enfocadas fuertemente en el control y menos en la ejecucion. Estas practicas 
ayudaran a optimizar las inversiones habilitadas por Tl, aseguraran la entrega del servicio y brindaran una medida contra la cual 
juzgar cuando las cosas no vayan bien. 

Para que Tl tenga exito en satisfacer los requerimientos del negocio, la direccion debe implementar un sistema de control interno o un 
marco de trabajo. El marco de trabajo de control CobiT contribuye a estas necesidades de la siguiente manera: 

• Estableciendo un vfnculo con los requerimientos del negocio 

• Organizando las actividades de Tl en un modelo de procesos generalmente aceptado 

• Identificando los principales recursos de Tl a ser utilizados 

• Definiendo los objetivos de control gerenciales a ser considerados 

La orientacion al negocio que enfoca CobiT consiste en alinear las metas de negocio con las metas de Tl, brindando metricas y 
modelos de madurez para medir sus logros, e identificando las responsabilidades asociadas de los duehos de los procesos de 
negocio y de Tl. 

El enfoque hacia procesos de CobiT se ilustra con un modelo de procesos, el cual subdivide Tl en 34 procesos de acuerdo a las areas 
de responsabilidad de planear, construir, ejecutar y monitorear, ofreciendo una vision de punta a punta de la Tl. Los conceptos de 
arquitectura empresarial ayudan a identificar aquellos recursos esenciales para el exito de los procesos, es decir, aplicaciones, 
informacion, infraestructura y personas. 

En resumen, para proporcionar la informacion que la empresa necesita para lograr sus objetivos, los recursos de Tl deben ser 
administrados por un conjunto de procesos agrupados de forma natural. 

Pero, ^corno puede la empresa poner bajo control Tl de tal manera que genere la informacion que la empresa necesita? ^Como 
puede administrar los riesgos y asegurar los recursos de Tl de los cuales depende tanto? ^Como puede la empresa asegurar que Tl 
logre sus objetivos y soporte los del negocio? 

Primero, la direccion requiere objetivos de control que definan la meta final de implementar polfticas, procedimientos, practicas y 
estructuras organizacionales disenadas para brindar un aseguramiento razonable de que: 

• Se alcancen los objetivos del negocio. 

• Se prevengan o se detecten y corrijan los eventos no deseados. 
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En segundo lugar, en los complejos 
ambientes de hoy en dfa, la direccion busca 
continuamente informacion oportuna y 
condensada, para tomar decisiones diffciles 
respecto a riesgos y controles, de manera 
rapida y exitosa. <j,Que se debe medir y 
como? Las empresas requieren una 
medicion objetiva de donde se encuentran y 
donde se requieren mejoras, y deben 
implementar una caja de herramientas 
gerenciales para monitorear esta mejora. La 
Figura 1 muestra algunas preguntas 
frecuentes y las herramientas gerenciales de 
informacion usadas para encontrar las 
respuestas, aunque estos tableros de control 
requieren indicadores, los marcadores de 
puntuacion requieren mediciones y los Benchmarking requieren una escala de comparacion, 

Una respuesta a los requerimientos de determinar y monitorear el nivel apropiado de control y desempeho de Tl son las definiciones 
especfficas de CobiT de los siguientes conceptos: 

• Benchmarking de la capacidad de los procesos de Tl, expresada como modelos de madurez, derivados del Modelo de Madurez de la 
Capacidad del Instituto de Ingenierfa de Software 

• Metas y metricas de los procesos de Tl para definir y medir sus resultados y su desempeho, basados en los principios de Balanced 
Scorecard de Negocio de Robert Kaplan y David Norton 

• Metas de actividades para controlar estos procesos, con base en los objetivos de control detallados de CobiT 

La evaluacion de la capacidad de los procesos basada en los modelos de madurez de CobiT es una parte clave de la implementacion 
del gobierno de Tl. Despues de identificar los procesos y controles criticos de Tl, el modelo de madurez permite identificar y demostrar 
a la direccion las brechas en la capacidad. Entonces se pueden crear planes de accion para llevar estos procesos hasta el nivel 
objetivo de capacidad deseado. 

CobiT da soporte al gobierno de Tl (Figura 2) al brindar un marco de trabajo que garantiza que: 

• Tl esta alineada con el negocio 

• Tl habilita al negocio y maximiza los beneficios 

• Los recursos de Tl se usan de manera responsable 

• Los riesgos de Tl se administran apropiadamente 

La medicion del desempeho es esencial para el gobierno de Tl. CobiT le da soporte e incluye el establecimiento y el monitoreo de 
objetivos que se puedan medir, referentes a lo que los procesos de Tl requieren generar (resultado del proceso) y como lo generan 
(capacidad y desempeho del proceso). Muchos estudios han identificado que la falta de transparencia en los costos, valor y riesgos 
de Tl, es uno de los mas importantes impulsores para el gobierno de Tl. Mientras las otras areas consideradas contribuyen, la 
transparencia se logra de forma principal por medio de la medicion del desempeho. 


Figura 2 - Areas de Enfoque del Gobierno de Tl 


•Alineacion Estrategica se enfoca en garantizar la alineacion entre los planes de 
negocio y de Tl; en definir, mantener y validar la propuesta de valor de Tl; y en 
alinear las operaciones de Tl con las operaciones de la empresa. 

•Entrega de Valor se refiere a ejecutar la propuesta de valor a todo lo largo del ciclo 
de entrega, asegurando que Tl genere los beneficios prometidos en la estrategia, 
concentrandose en optimizar los costos yen brindar el valor intrfnseco de la TL 
•Administracion de Recursos setrata de la inversion optima, asi como la 
administracion adecuada de los recursos criticos de Tl:, aplicaciones, informacion, 
infraestructura y personas. Los temas claves se refieren a la optimizacion de 
conocimiento y de infraestructura. 

•Administracion de Riesgos requiere conciencia de los riesgos por parte de los 
altos ejecutivos de la empresa, un claro entendimiento del apetito de riesgo que 
tiene la empresa, comprender los requerimientos de cumplimiento, transparencia de 
los riesgos significativos para la empresa, y la inclusion de las responsabilidades de 
administracion de riesgos dentro de la organizacion. 

•Medicion del Desempeho rastrea y monitorea la estrategia de implementacion, la 
terminacion del proyecto, el uso de los recursos, el desempeho de los procesos y la 
entrega del servicio, con el uso, porejemplo, de balanced scorecards que traducen 
la estrategia en accion para lograr las metas medibles mas alia del registro 
convencional. 
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Figura 1 - Administracion de la Informacion 


iComo hacen los gerentes 
responsables para mantener el barco 
en curso? 

TABLEROS DE 
CONTROL 

Indicadores? 

iComo puede la empresa lograr 
resultados que sean satisfactorios 
para la mayor parte de los 
interesados? 

MARCADORES DE 
PUNTUACION 

[Z^> Mediciones? 



iComo puede la empresa adaptarse de 
manera oportuna a las tendencias y 

BENCHMARKING 

Escalas? 

avances del ambiente empresarial? 
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Resumen Ejecutivo 


Estas areas de enfoque de gobierno de Tl describen los topicos en los que la direccion ejecutiva requiere poner atencion para 
gobernar a Tl en sus empresas. La direccion operacional usa procesos para organizar y administrar las actividades cotidianas de Tl. 
CobiT brinda un modelo de procesos genericos que representa todos los procesos que normalmente se encuentran en las funciones 
de Tl, ofreciendo un modelo de referenda comun entendible para los gerentes operatives de Tl y del negocio. Se establecieron 
equivalencias entre los modelos de procesos CobiT y las areas de enfoque del gobierno de Tl (vea Apendice II, Equivalencia entre 
procesos de Tl y las areas de enfoque del gobierno de Tl, COSO, recursos Tl de CobiT y criterios de informacion CobiT), ofreciendo asf 
un puente entre lo que los gerentes operativos deben realizar y lo que los ejecutivos desean gobernar. 

Para lograr un gobierno efectivo, los ejecutivos esperan que los controles a ser implementados por los gerentes operativos se 
encuentren dentro de un marco de control definido para todo los procesos de Tl. Los objetivos de control de Tl de CobiT estan 
organizados por proceso de Tl; por lo tanto, el marco de trabajo brinda una alineacion clara entre los requerimientos de gobierno de 
Tl, los procesos de Tl y los controles de TL 

CobiT se enfoca en que se requiere para lograr una administracion y un control adecuado de Tl, y se posiciona en un nivel alto. CobiT 
ha sido alineado y armonizado con otros estandares y mejores practicas mas detallados de Tl, (vea Apendice IV). CobiT actua como un 
integrador de todos estos materiales gufa, resumiendo los objetivos clave bajo un mismo marco de trabajo integral que tambien se 
alinea con los requerimientos de gobierno y de negocios. 

COSO (y marcos de trabajo compatibles similares) es generalmente aceptado como el marco de trabajo de control interno para las 
empresas. CobiT es el marco de trabajo de 
control interno generalmente aceptado para Tl. 

Los productos CobiT se han organizado en tres 
niveles (Figura 3) disehados para dar soporte a: 

• Administracion y consejos ejecutivos 

• Administracion del negocio y de Tl 

• Profesionales en Gobierno, aseguramiento, 
control y seguridad. 

Brevemente, los productos CobiT incluyen: 

• El resumen informativo al consejo sobre el 
gobierno de Tl, 2 a Edicion— Disehado para 
ayudar a los ejecutivos a entender porque el 
gobierno de Tl es importante, cuales son sus 
intereses y cuales son sus responsabilidades 
para administrarlo. 

• Directrices Gerenciales/ Modelos de 
madurez— Ayudan a asignar responsabilidades, 
medir el desempeho, llevar a cabo benchmarks 
y manejar brechas en la capacidad. 

• Marco de Referenda— Explica como CobiT 
organiza los objetivos de gobierno y las mejores 
practicas de Tl con base en dominios y 
procesos de Tl, y los alinea a los 
requerimientos del negocio. 

• Objetivos de control— Brindan objetivos a la 
direccion basados en las mejores practicas 
genericas para todas los procesos de Tl 

• Gufa de Implementacion de Gobierno de Tl: 

Usando CobiT y Val Tl 2 a Edicion. Proporciona 
un mapa de ruta para implementar gobierno Tl 
utilizando los recursos CobiT y Val Tl 

• Practicas de Control de CobiT: Gufa para Conseguir los Objetivos de Control para el Exito del Gobierno de Tl 2 a Edicion - Proporciona 
una gufa de por que vale la pena implementar controles y como implementarlos. 

• Gufa de Aseguramiento de Tl: Usando CobiT - Proporciona una gufa de como CobiT puede utilizarse para soportar una variedad de 
actividades de aseguramiento junto con los pasos de prueba sugeridos para todos los procesos de Tl y objetivos de control. 

El diagrama de contenido de CobiT mostrado en la figura 3 presenta las audiencias principales, sus preguntas sobre gobierno Tl y los 
productos que generalmente les aplican para proporcionar las respuestas. Tambien hay productos derivados para propositos 
especfficos, para dominios tales como seguridad o empresas especificas. 


Figura 3 - Productos COBIT 


i,Como la 
direccion ejercita 
sus responsabilidades? 

Ejecutivos y Directiva 


Resumen para la Direcliva sobre 
el Gobierno de Tl 2 a Ed. 


I Como medimos el desempeno? 
i Como nos comparamos con otros? 
iy como mejoramos con el tiempo? 

Administracion del negocio y de la Tecnologia 


Directrices Gerenciales 


Modelos de Madurez 


iQue es el marco 
de trabajo de 
gobierno de Tl? 


iComo lo 
implantamos en 
la empresa? 


iComo evaluamos 
el marco de control 
de Tl? 


Profesionales de Gobierno, Aseguramiento, Control y Seguridad 

A 1 J_ 


Marco de Trabajo CobiT 
y Val IT 


Objetivos de Control* 


Guia de Implementacion 
de Gobierno de Tl 2‘ ED 


Practicas de Control de 
CobiT, 2“ Ed. 


Guia de Aseguramiento de 
Tl 


Practicas de Control 
Claves 


Este diagrama de productos basado en CobiT presenta los productos aplicables y su audiencia primaria. Tambien hay 
productos derivados para propositos especfficos (Objetivos de Control de Tl pare Sarbanes Oxley, 2 3 Ed), para dominios 
tales como seguridad ( Unea Base de Seguridad de CobiT y Gobierno de Seguridad de la Informacion: Guia para la 
Directiva de Director es y Gerentes Ejecutivos ) o para empresas especificas (CobiT Quickslart para pequenas y medianas 
empresas o grandes empresas que desean introducirse de forma rapida en la implementacion de gobierno de Tl). 
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Todos estos componentes de CobiT se interrelacionan, ofreciendo soporte para las necesidades de gobierno, de administracion, de 
control y de auditorfa de los distintos interesados, como se muestra en la Figura 4. 



CobiT es un marco de referenda y un juego de herramientas de soporte que permiten a la gerencia cerrar la brecha con respecto a los 
requerimientos de control, temas tecnicos y riesgos de negocio, y comunicar ese nivel de control a los Interesados (Stakeholders). 
CobiT permite el desarrollo de polfticas Claras y de buenas practicas para control de Tl a traves de las empresas. CobiT 
constantemente se actualiza y armoniza con otros estandares. Por lo tanto, CobiT se ha convertido en el integrador de las mejores 
practicas de Tl y el marco de referenda general para el gobierno de Tl que ayuda a comprender y administrar los riesgos y beneficios 
asociados con Tl. La estructura de procesos de CobiT y su enfoque de alto nivel orientado al negocio brindan una vision completa de Tl 
y de las decisiones a tomar acerca de la misma. 

Los beneficios de implementar CobiT como marco de referenda de gobierno sobre Tl incluyen: 

• Mejor alineacion, con base en su enfoque de negocios 

• Una vision, entendible para la gerencia, de lo que hace Tl 

• Propiedad y responsabilidades Claras, con base en su orientacion a procesos 

• Aceptacion general de terceros y reguladores 

• Entendimiento compartido entre todos los Interesados, con base en un lenguaje comun 

• Cumplimiento de los requerimientos COSO para el ambiente de control de Tl 

El resto de este documento brinda una descripcion del marco de trabajo CobiT, asf como todos los componentes esenciales 
organizados por los dominios Tl de CobiT y 34 procesos de Tl. Esto proporciona un util libro de referenda para toda la guia principal de 
CobiT. Tambien se ofrecen varios apendices como referencias utiles. 

La informacion mas reciente sobre CobiT y los productos relacionados, incluyendo herramientas en Ifnea, gufas de implementacion, 
casos de estudio, Newsletter y materiales educativos se pueden consultar en www.isaca.org/cobit 


8 


© 2007 IT Governance Institute. All rights reserved, www.itgi.org 













Marco de Trabajo CobiT 


Marco de Trabajo 



Marco de Trabajo CobiT 


Marco de Trabajo CobiT 

La Mision de CobiT: 

Investigar, desarrollar, hacer publico y promover un marco de control de gobierno de Tl autorizado, actualizado, aceptado 
internacionalmente para la adopcion por parte de las empresas y el uso diario por parte de gerentes de negocio, profesionales de Tl y 
profesionales de aseguramiento. 

LA NECESIDAD DE UN MARCO DE TRABAJO DE CONTROL PARA EL 
GOBIERNO DE Tl 


Un marco de control para el Gobierno Tl define las razones de por que se necesita el Gobierno de Tl, los interesados y que se necesita 
cumplir en el gobierno de Tl 

Por que 

Cada vez mas, la alta direccion se esta dando cuenta del impacto significativo que la informacion puede tener en el exito de una 
empresa. La direccion espera un alto entendimiento de la manera en que la tecnologia de informacion (Tl) es operada y de la 
posibilidad de que sea aprovechada con exito para tener una ventaja competitiva. En particular, la alta direccion necesita saber si con 
la informacion administrada en la empresa es posible que: 

• Garantice el logro de sus objetivos 

• Tenga suficiente flexibilidad para aprender y adaptarse 

• Cuente con un manejo juicioso de los riesgos que enfrenta 

• Reconozca de forma apropiada las oportunidades y actue de acuerdo a ellas 

Las empresas exitosas entienden los riesgos y aprovechan los beneficios de Tl, y encuentran maneras para: 

• Alinear la estrategia de Tl con la estrategia del negocio 

• Asegurar que los in version istas y accionistas logran un debido cuidado estandarizado para la mitigacion de los riesgos de Tl 

• Lograr que toda la estrategia de Tl, asf como las metas fluyan de forma gradual a toda la empresa 

• Proporcionar estructuras organizacionales que faciliten la implementacion de estrategias y metas 

• Crear relaciones constructivas y comunicaciones efectivas entre el negocio y Tl, y con socios externos 

• Medir el desempeno de Tl 

Las empresas no pueden responder de forma efectiva a estos requerimientos de negocio y de gobierno sin adoptar e implementar un 
marco de Referenda de gobierno y de control para Tl, de tal manera que: 

• Se forme un vinculo con los requerimientos del negocio 

• El desempeno real con respecto a estos requerimientos sea transparente 

• Se organicen sus actividades en un modelo de procesos generalmente aceptado 

• Se identifiquen los principales recursos a ser apalancados 

• Se definan los objetivos de control Gerenciales a ser considerados 

Ademas, el gobierno y los marcos de trabajo de control estan siendo parte de las mejores practicas de la administracion de Tl y sirven 
como facilitadores para establecer el gobierno de Tl y cumplir con el constante incremento de requerimientos regulatorios. 

Las mejores practicas de Tl se han vuelto significativas debido a varios factores: 

• Directores de negocio y consejos directivos que demandan un mayor retorno de la inversion sobre Tl, es decir, que Tl genere lo que 
el negocio necesita para mejorar el valor de los Interesados (Stakeholders) 

• Preocupacion por el creciente nivel de gasto en Tl 

• La necesidad de satisfacer requerimientos regulatorios para controles de Tl en areas como privacidad y reportes financieros (por 
ejemplo, Sarbanes-Oxley Act, Basel II) y en sectores especificos como el financiero, farmaceutico y de atencion a la salud 

• La seleccion de proveedores de servicio y el manejo de Outsourcing y de Adquisicion de servicios 

• Riesgos crecientemente complejos de Tl como la seguridad de redes 

• Iniciativas de gobierno de Tl que incluyen la adopcion de marcos de referenda de control y de mejores practicas para ayudar a 
monitorear y mejorar las actividades cnticas de Tl, aumentar el valor del negocio y reducir los riesgos de este 

• La necesidad de optimizar costos siguiendo, siempre que sea posible, un enfoque estandarizado en lugar de enfoques 
desarrollados en forma especial 

• La madurez creciente y la consecuente aceptacion de marcos de trabajo respetados tales como CobiT, ITIL, ISO 17799, ISO 9001, 
CMM y PRINCE2 

• La necesidad de las empresas de valorar su desempeno en comparacion con estandares generalmente aceptados y con respecto a 
su competencia (Benchmarking) 


© 2007 IT Governance Institute. All rights reserved, www.itgi.org 


9 





CobiT 4.1 


Quien 

Un marco de referencia de gobierno y de control requiere servir a una variedad de interesados internos y externos, cada uno de los 
cuales tiene necesidades especfficas: 

• Interesados dentro de la empresa que tienen interes en generar valor de las inversiones en Tl: 

- Aquellos que toman decisiones de inversiones 

- Aquellos que deciden respecto a los requerimientos 

- Aquellos que utilizan los servicios de Tl 

• Interesados internos y externos que proporcionan servicios de Tl: 

- Aquellos que administran la organizacion y los procesos de Tl 

- Aquellos que desarrollan capacidades 

- Aquellos que operan los servicios 

• Interesados internos y externos con responsabilidades de control/riesgo: 

- Aquellos con responsabilidades de seguridad, privacidad y/o riesgo 

- Aquellos que realizan funciones de cumplimiento 

- Aquellos que requieren o proporcionan servicios de aseguramiento 


Que 

Para satisfacer los requerimientos previos, un marco de referencia para el gobierno y el control de Tl, debe satisfacer las siguientes 
especificaciones generales: 

• Brindar un enfoque de negocios que permita la alineacion entre las metas de negocio y de Tl. 

• Establecer una orientacion a procesos para definir el alcance y el grado de cobertura, con una estructura definida que permita una 
facil navegacion en el contenido. 

• Ser generalmente aceptable al ser consistente con las mejores practicas y estandares de Tl aceptados, y que sea independiente de 
tecnologfas especfficas. 

• Proporcionar un lenguaje comun, con un juego de terminos y definiciones que sean comprensibles en general para todos los 
Interesados. 

• Ayudar a satisfacer requerimientos regulatorios, al ser consistente con estandares de gobierno corporativo generalmente aceptados 
(COSO) y con controles de Tl esperados por reguladores y auditores externos. 

Como Satisface CobiT La Necesidad 

Como respuesta a las necesidades descritas en la seccion anterior, el marco de trabajo CobiT se creo con las caracterfsticas 
principales de ser orientado a negocios, orientado a procesos, basado en controles e impulsado por mediciones. 

Orientado al negocio 

La orientacion a negocios es el tema principal de 
CobiT. Esta disenado para ser utilizado no solo 
por proveedores de servicios, usuarios y 
auditores de Tl, sino tambien y principalmente, 
como gufa integral para la gerencia y para los 
duenos de los procesos de negocio. 

El marco de trabajo CobiT se basa en el 
siguiente principio (Figura 5): Para proporcionar 
la informacion que la empresa requiere para 
lograr sus objetivos, la empresa necesita invertir 
en, y administrar y controlar los recursos de Tl 
usando un conjunto estructurado de procesos 
que provean los servicios que entregan la 
informacion empresarial requerida. 

El marco de trabajo CobiT ofrece herramientas 
para garantizar la alineacion con los requerimientos del negocio. 

CRITERIOS DE INFORMACION DE CobiT 

Para satisfacer los objetivos del negocio, la informacion necesita adaptarse a ciertos criterios de control, los cuales son referidos en 
CobiT como requerimientos de informacion del negocio. Con base en los requerimientos mas amplios de calidad, fiduciarios y de 
seguridad, se definieron los siguientes siete criterios de informacion: 

• La efectividad tiene que ver con que la informacion sea relevante y pertinente a los procesos del negocio, y se proporcione de una 
manera oportuna, correcta, consistente y utilizable. 

• La eficiencia consiste en que la informacion sea generada con el optimo (mas productivo y economico) uso de los recursos. 

• La confidencialidad se refiere a la proteccion de informacion sensitiva contra revelacion no autorizada. 


Fiqura 5 - Principio Basico de COBIT 
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• La integridad esta relacionada con la precision y completitud de la informacion, asf como con su validez de acuerdo a los valores y 
expectativas del negocio. 

• La disponibilidad se refiere a que la informacion este disponible cuando sea requerida por los procesos del negocio en cualquier 
momento. Tambien concierne a la proteccion de los recursos y las capacidades necesarias asociadas. 

• El cumplimiento tiene que ver con acatar aquellas leyes, reglamentos y acuerdos contractuales a los cuales esta sujeto el proceso 
de negocios, es decir, criterios de negocios impuestos externamente, asf como politicas internas. 

• La confiabilidad se refiere a proporcionar la informacion apropiada para que la gerencia administre la entidad y ejerza sus 
responsabilidades fiduciarias y de gobierno. 

METAS DE NEGOCIOS Y DE Tl 

Mientras que los criterios de informacion proporcionan un metodo generico para definir los requerimientos del negocio, la definicion 
de un conjunto de metas genericas de negocio y de Tl ofrece una base mas refinada y relacionada con el negocio para el 
establecimiento de requerimientos de negocio y para el desarrollo de metricas que permitan la medicion con respecto a estas metas. 
Toda empresa usa Tl para habilitar iniciativas del negocio y estas pueden ser representadas como metas del negocio para Tl. El 
Apendice I proporciona una matriz de metas genericas de negocios y metas de Tl y como se asocian con los criterios de la 
informacion. Estos ejemplos genericos se pueden utilizar como gufa para determinar los requerimientos, metas y metricas especificas 
del negocio para la empresa. 

Si se pretende que Tl proporcione servicios de forma exitosa para dar soporte a la estrategia de la empresa, debe existir una 
propiedad y una direccion clara de los requerimientos por parte del negocio (el cliente) y un claro entendimiento para Tl, de como y 
que debe entregar (el proveedor). La Figura 6 ilustra como la estrategia de la empresa se debe traducir por parte del negocio en 
objetivos relacionados con iniciativas habilitadas por Tl (Las metas de negocio para Tl). Estos objetivos a su vez, deben conducir a una 
clara definicion de los propios objetivos de Tl (las metas de Tl), y luego estas a su vez definir los recursos y capacidades de Tl (la 
arquitectura empresarial para Tl) requeridos para ejecutar, de forma exitosa la parte que le corresponde a Tl de la estrategia 
empresarial. Para que el cliente entienda las metas y los Scorecard de Tl, todos estos objetivos y sus metricas asociadas se deben 
expresar en terminos de negocio significativos para el cliente, y esto, combinado con una alineacion efectiva de la jerarqufa de 
objetivos, asegurara que el negocio pueda confirmar que Tl puede, con alta probabilidad, dar soporte a las metas del negocio 1 . 



Una vez que han sido definidas las metas alineadas, estas requieren ser monitoreadas para garantizar que la entrega cumple con las 
expectativas. Esto se logra con metricas derivadas de las metas y capturadas en el scorecard de Tl. 

Para que el cliente pueda entender las metas de Tl y el scorecard de Tl, todos estos objetivos y metricas asociadas deben expresarse 
en terminos de negocio significativos para el cliente. Esto, combinado con un alineamiento efectivo de los objetivos jerarquicos 
asegurarfa que el negocio puede confirmar que es probable que Tl soporte los objetivos de la empresa. 

El apendice I, Tablas de enlace entre metas y procesos, proporciona una vision global de como las metas genericas de negocio se 
relacionan con las metas de Tl, los procesos de Tl y los criterios de la informacion. Las tablas ayudan a demostrar el ambito de CobiT y 
las relaciones completas de negocio entre CobiT y los impulsores de la empresa. La figura 6 ilustra, que estos impulsores vienen del 
negocio y desde la capa de Gobierno Corporativo, en primer lugar enfocandose mas en las funcionalidades y velocidad de la entrega, 
mas tarde en la relacion costo-eficiencia, retorno de inversion (ROI) y cumplimiento. 

RECURSOS DE Tl 

La organizacion de Tl se desempefia con respecto a estas metas como un conjunto de procesos definidos con claridad que utiliza las 


1 Es necesario senalar que la definicion e implementacion de una arquitectura empresarial para Tl creara tambien metas que contribuyen a, pero no 
se han derivado de, los objetivos de negocio. 


© 2007 IT Governance Institute. All rights reserved, www.itgi.org 


11 





CobiT 4.1 


habilidades de las personas, y la infraestructura de tecnologfa para ejecutar aplicaciones automatizadas de negocio, mientras que al 
mismo tiempo toma ventaja de la informacion del negocio. Estos recursos, junto con los procesos, constituyen una arquitectura 
empresarial para Tl, como se muestra en la figura 6. 

Para responder a los requerimientos que el negocio tiene hacia Tl, la empresa debe invertir en los recursos requeridos para crear una 
capacidad tecnica adecuada (Ej., un sistema de planeacion de recursos empresariales [ERP]) para darsoporte a la capacidad del 
negocio (Ej., implementando una cadena de suministro) que genere el resultado deseado (Ej., mayores ventas y beneficios 
financieros). 

Los recursos de Tl identificados en CobiT se pueden definir como sigue: 

• Las aplicaciones incluyen tanto sistemas de usuario automatizados como procedimientos manuales que procesan informacion. 

• La informacion son los datos en todas sus formas, de entrada, procesados y generados por los sistemas de informacion, en 
cualquier forma en que sean utilizados por el negocio. 

• La infraestructura es la tecnologfa y las instalaciones (hardware, sistemas operativos, sistemas de administracion de base de datos, 
redes, multimedia, etc., asf como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las 
aplicaciones. 

• Las personas son el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los 
sistemas y los servicios de informacion. Estas pueden ser internas, por outsourcing o contratadas, de acuerdo a como se requieran. 

La Figura 7 resume como las metas de negocio para Tl influencian la manera en que se 
manejan los recursos necesarios de Tl por parte de los procesos de Tl para lograr las 
metas de TL 

Orientado a Procesos 


CobiT define las actividades de Tl en un modelo generico de procesos organizado en 
cuatro dominios. Estos dominios son Planear y Organizar, Adquirir e Implementar, 

Entregar y Dar Soporte y Monitorear y Evaluar. Los dominios se equiparan a las areas 
tradicionales de Tl de planear, construir, ejecutar y monitorear. 

El marco de trabajo de CobiT proporciona un modelo de procesos de referencia y un 
lenguaje comun para que todos en la empresa visualicen y administren las actividades de 
Tl. La incorporacion de un modelo operativo y un lenguaje comun para todas las partes 
de un negocio involucradas en Tl es uno de los pasos iniciales mas importantes hacia un 
buen gobierno. Tambien brinda un marco de trabajo para la medicion y monitoreo del 
desempeho de Tl, comunicandose con los proveedores de servicios e integrando las 
mejores practicas de administracion. Un modelo de procesos fomenta la propiedad de los 
procesos, permitiendo que se definan las responsabilidades. 

Para gobernar efectivamente Tl, es importante determinar las actividades y los riesgos 
que requieren ser administrados. Normalmente se ordenan dentro de dominios de 
responsabilidad de plan, construir, ejecutar y Monitorear. Dentro del marco de CobiT, 
estos dominios, como se muestra en la Figura 8, se llaman: 

• Planear y Organizar (PO) - Proporciona direccion para la entrega de 
soluciones (Al) y la entrega de servicio (DS). 

• Adquirir e Implementar (Al) - Proporciona las soluciones y las pasa 
para convertirlas en servicios. 

• Entregar y DarSoporte (DS) - Recibe las soluciones y las hace 
utilizables por los usuarios finales. 

• Monitorear y Evaluar (ME) -Monitorear todos los procesos para 
asegurar que se sigue la direccion provista. 

PLANEAR Y ORGANIZAR (PO) 

Este dominio cubre las estrategias y las tacticas, y tiene que ver con 
identificar la manera en que Tl puede contribuir de la mejor manera al 
logro de los objetivos del negocio. Ademas, la realizacion de la vision 
estrategica requiere ser planeada, comunicada y administrada desde 
diferentes perspectivas. Finalmente, se debe implementar una 
estructura organizacional y una estructura tecnologica apropiada. Este dominio cubre los siguientes cuestionamientos tfpicos de la 
gerencia: 

• <j,Estan alineadas las estrategias de Tl y del negocio? 

• i , La empresa esta alcanzando un uso optimo de sus recursos? 

• ^Entienden todas las personas dentro de la organizacion los objetivos de Tl? 

• i,Se entienden y administran los riesgos de Tl? 

• <j,Es apropiada la calidad de los sistemas de Tl para las necesidades del negocio? 

ADQUIRIR E IMPLEMENTAR (Al) 

Para llevar a cabo la estrategia de Tl, las soluciones de Tl necesitan ser identificadas, desarrolladas o adquiridas asf como 
implementadas e integradas en los procesos del negocio. Ademas, el cambio y el mantenimiento de los sistemas existentes esta 
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cubierto por este dominio para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio. Este dominio, por lo 
general, cubre los siguientes cuestionamientos de la gerencia: 

• <-,Es probable que los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio? 

• <j,Es probable que los nuevos proyectos sean entregados a tiempo y dentro del presupuesto? 

• ^Trabajaran adecuadamente los nuevos sistemas una vez sean implementados? 

• i,Los cambios no afectaran a las operaciones actuales del negocio? 

ENTREGAR Y DAR SOPORTE (DS) 

Este dominio cubre la entrega en sf de los servicios requeridos, lo que incluye la prestacion del servicio, la administracion de la 
seguridad y de la continuidad, el soporte del servicio a los usuarios, la administracion de los datos y de las instalaciones operativos. 
Por lo general cubre las siguientes preguntas de la gerencia: 

• i,Se estan entregando los servicios de Tl de acuerdo con las prioridades del negocio? 

• i,Estan optimizados los costos de Tl? 

• <j,Es capaz la fuerza de trabajo de utilizar los sistemas de Tl de manera productiva y segura? 

• i,Estan implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad? 

MONITOREAR Y EVALUAR (ME) 

Todos los procesos de Tl deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos 
de control. Este dominio abarca la administracion del desempeno, el monitoreo del control interno, el cumplimiento regulatorio y la 
aplicacion del gobierno. Por lo general abarca las siguientes preguntas de la gerencia: 

• <j,Se mide el desempeno de Tl para detectar los problemas antes de que sea demasiado tarde? 

• i,La Gerencia garantiza que los controles internos son efectivos y eficientes? 

• <-,Puede vincularse el desempeno de lo que Tl ha realizado con las metas del negocio? 

• <^Se miden y reportan los riesgos, el control, el cumplimiento y el desempeno? 

A lo largo de estos cuatro dominios, CobiT ha identificado 34 procesos de Tl generalmente usados (ver figura 22 para la lista 
completa). Mientras la mayorfa de las empresas ha definido las responsabilidades de planear, construir, ejecutar y monitorear para Tl, 
y la mayorfa tienen los mismos procesos clave, pocas tienen la misma estructura de procesos o le aplicaran todos los 34 procesos de 
CobiT. CobiT proporciona una lista completa de procesos que puede ser utilizada para verificar que se completan las actividades y 
responsabilidades; sin embargo, no es necesario que apliquen todas, y, aun mas, se pueden combinar como se necesite por cada 
empresa. 

Para cada uno de estos 34 procesos, tiene un enlace a las metas de negocio y Tl que soporta. Informacion de como se pueden medir 
las metas, tambien se proporcionan cuales son sus actividades clave y entregables principales, y quien es el responsable de ellas. 

Basado en controles 

CobiT define objetivos de control para los 34 procesos, asf como para el proceso general y los controles de aplicacion. 

LOS PROCESOS REQUIEREN CONTROLES 

Control se define como las polfticas, procedimientos, practicas y estructuras organizacionales disenadas para brindar una seguridad 
razonable que los objetivos de negocio se alcanzaran, y los eventos no deseados seran prevenidos o detectados y corregidos. 

Los objetivos de control de Tl proporcionan un conjunto completo de requerimientos de alto nivel a considerar por la gerencia para un 
control efectivo de cada proceso de Tl. Elios: 

• Son sentencias de acciones de gerencia para aumentar el valor o reducir el riesgo 

• Consisten en polfticas, procedimientos, practicas y estructuras organizacionales. 

• Estan disenadas para proporcionar un aseguramiento razonable de que los objetivos de negocio se conseguiran y que los eventos 
no deseables se prevendran, detectaran y corregiran. 

La gerencia de la empresa necesita tomar decisiones relativas a estos objetivos de control: 

• Seleccionando aquellos aplicables. 

• Decidir aquellos que deben implementarse. 

• Elegir como implementarlos (frecuencia, extension, automatizacion, etc.) 

• Aceptar el riesgo de no implementar aquellos que podrfan aplicar. 
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La gufa se puede obtener del modelo de control estandar 
mostrado en la figura 9. Sigue los principios que se evidencian 
en la siguiente analogfa: cuando se ajusta la temperatura 
ambiente (estandar) para el sistema de calefaccion (proceso), 
el sistema verificara de forma constante (comparar) la 
temperatura ambiente (inf. de control) e indicara (actuar) al 
sistema de calefaccion para que genere mas o menos calor. 

La gerencia de operaciones usa los procesos para organizary 
administrar las actividades de Tl en curso. CobiT brinda un 
modelo generico de procesos que representa todos los 
procesos que normalmente se encuentran en las funciones de 
Tl, proporcionando un modelo de referenda general y 
entendible para la gerencia de operaciones de Tl y para la 
gerencia de negocios. Para lograr un gobierno efectivo, los 
gerentes de operaciones deben implementar los controles 
necesarios dentro de un marco de control definido para todos 
los procesos Tl. Ya que los objetivos de control de Tl de CobiT 
estan organizados por procesos de Tl, el marco de trabajo 
brinda vmculos claros entre los requerimientos de gobierno de 
Tl, los procesos de Tl y los controles de Tl. 

Cada uno de los procesos de Tl de CobiT tiene un objetivo de control de alto nivel y varios de objetivos de control detallados. Como un 
todo, representan las caracteristicas de un proceso bien administrado. 

Los objetivos de control detallados se identifican por dos caracteres que representan el dominio (PO, Al, DS y ME) mas un numero de 
proceso y un numero de objetivo de control. Ademas de los objetivos de control detallados, cada proceso CobiT tiene requerimientos 
de control genericos que se identifican con PCn, que significa Control de Proceso numero. Se deben tomar como un todo junto con los 
objetivos de control del proceso para tener una vision completa de los requerimientos de control. 

PCI Metas y Objetivos del Proceso 

Definir y comunicar procesos, metas y objetivos especfficos, medibles, accionables, reales, orientados a resultado y en tiempo 
(SMARRT) para la ejecucion efectiva de cada proceso de Tl. Asegurando que estan enlazados a las metas de negocio y se soportan 
por metricas adecuadas. 

PC2 Propiedad del Proceso 

Asignar un dueno para cada proceso de Tl, y definir claramente los roles y responsabilidades del dueno del proceso. Incluye, por 
ejemplo, responsabilidad del disefio del proceso, interaccion con otros procesos, rendicion de cuentas de los resultados finales, 
medicion del desempeno del proceso y la identificacion de mejora de las oportunidades. 

PC3 Proceso Repetible 

Disenar y establecer cada proceso clave de Tl de tal manera que sea repetible y consecuentemente produzca los resultados 
esperados. Proveer una secuencia logica pero flexible y escalable de actividades que lleve a los resultados deseados y que sea lo 
suficientemente agil para manejar las excepciones y emergencias. Usar procesos consistentes, cuando sea posible, y ajustarlos solo 
cuando no se pueda evitar. 

PC4 Roles y Responsabilidades 

Definir las actividades clave y entregables finales del proceso. Asignar y comunicar roles y responsabilidades no ambiguas para la 
ejecucion efectiva y eficiente de las actividades clave y su documentacion, asf como la rendicion de cuentas para los entregables 
finales del proceso. 

PC5 Pollticas, Planes y Procedimientos 

Definir y comunicar como todas las polfticas, planes y procedimientos que dirigen los procesos de Tl estan documentados, revisados, 
mantenidos, aprobados, almacenados, comunicados y usados para el entrenamiento. Asignar responsabilidades para cada una de 
estas actividades y en momentos oportunos, revisarsi se ejecutan correctamente. Asegurar que las polfticas, planes y procedimientos 
son accesibles, correctos, entendidos y actualizados 

PC6 Desempeno del Proceso 

Identificar un conjunto de metricas que proporcionen vision de las salidas y el desempeno del proceso. Establecer objetivos que se 
reflejen en las metas del proceso y los indicadores de desempeno de tal manera que permitan el logro de las metas de los procesos. 
Definir como los datos son obtenidos. Comparar las medidas actuales con los objetivos y tomar las acciones sobre las desviaciones 
cuando sea necesario. Alinear metricas, objetivos y metodos con el enfoque de monitoreo global del desempeno de Tl. 

Los controles efectivos reducen el riesgo, aumentan la probabilidad de la entrega de valor y aumentan la eficiencia, debido a que 
habra menos errores y un enfoque de administracion mas consistente. 

Ademas, CobiT ofrece ejemplos ilustrativos para cada proceso, los cuales no son exhaustivos o preceptivos de: 

• Entradas y salidas genericas 

• Actividades y gufas sobre roles y responsabilidades en una matriz RACI 

• Metas de actividades clave (las cosas mas importantes a realizar) 

• Metricas 


Figura 9 - Modelo de Control 
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Ademas de evaluar que controles son requeridos, los duenos de procesos deben entender que entradas requieren de otros procesos 
y que requieren otros de sus procesos. CobiT brinda ejemplos genericos de las entradas y salidas clave para cada proceso incluyendo 
los requerimientos externos de Tl. Existen algunas salidas que son entradas a todos los demas procesos, marcadas como "TODOS" en 
las tablas de salidas, pero no se mencionan como entradas en todos los procesos, y por lo general incluyen estandares de calidad y 
requerimientos de metricas, el marco de trabajo de procesos de Tl, roles y responsabilidades documentados, el marco de control 
empresarial de Tl, las polfticas de Tl, y roles y responsabilidades del personal. 

El entendimiento de los roles y responsabilidades para cada proceso es clave para un gobierno efectivo. CobiT proporciona una matriz 
RACI (quien es responsable, quien rinde cuentas, quien es consultado y quien informado) para cada proceso. Rendir cuentas significa 
la responsabilidad termina aquP— esta es la persona que provee autorizacion y direccionamiento a una actividad. Responsabilidad se 
refiere a la persona que realiza la actividad. Los otros dos roles (consultado e informado) garantizan que todas las personas que son 
requeridas estan involucradas y dan soporte al proceso. 

CONTROLES DEL NEGOCIO Y DE Tl 

El sistema de control interno de la empresa impacta en Tl a tres niveles: 

• Al nivel de direccion ejecutiva, se fijan los objetivos de negocio, se establecen polfticas y se toman decisiones de como aplicar y 
administrar los recursos empresariales para ejecutar la estrategia de la companfa. El enfoque generico hacia el gobierno y el control 
se establece por parte del consejo y se comunica a todo lo largo de la empresa. El ambiente de control de Tl es guiado por este 
conjunto de objetivos y polfticas de alto nivel. 

• Al nivel de procesos de negocio, se aplican controles para actividades especfficas del negocio. La mayorfa de los procesos de 
negocio estan automatizados e integrados con los sistemas aplicativos de Tl, dando como resultado que muchos de los controles a 
este nivel esten automatizados. Estos se conocen como controles de las aplicaciones. Sin embargo, algunos controles dentro del 
proceso de negocios permanecen como procedimientos manuales, como la autorizacion de transacciones, la separacion de 
funciones y las conciliaciones manuales. Los controles al nivel de procesos de negocio son, por lo tanto, una combinacion de 
controles manuales operados por el negocio, controles de negocio y controles de aplicacion automatizados. Ambos son 
responsabilidad del negocio en cuanto a su definicion y administracion aunque los controles de aplicacion requieren que la funcion 
de Tl de soporte a su diseno y desarrollo. 

• Para soportar los procesos de negocio, Tl proporciona servicios, por lo general de forma compartida, por varios procesos de negocio, 
asf como procesos operativos y de desarrollo de Tl que se proporcionan a toda la empresa, y mucha de la infraestructura de Tl 
provee un servicio comun (es decir, redes, bases de datos, sistemas operativos y almacenamiento). Los controles aplicados a todas 
las actividades de servicio de Tl se conocen como controles generales de Tl. La operacion formal de estos controles generates es 
necesaria para que de confiabilidad a los controles en aplicacion. Por ejemplo, una deficiente administracion de cambios podrfa 
poner en riesgo (por accidente o de forma deliberada) la confiabilidad de los chequeos automaticos de integridad. 

CONTROLES GENERALES DE Tl Y CONTROLES DE APLICACION 

Los controles generales son aquellos que estan inmersos en los procesos y servicios de Tl. Algunos ejemplos son: 

• Desarrollo de sistemas 

• Administracion de cambios 

• Seguridad 

• Operaciones de computo 

Los controles incluidos en las aplicaciones de los procesos del negocio se conocen por lo general como controles de aplicacion. 
Ejemplos: 

• Integridad (Completitud) 

• Precision 

• Validez 

• Autorizacion 

• Segregacion de funciones 

CobiT asume que el diseno e implementacion de los controles de aplicacion automatizados son responsabilidad de Tl, y estan 
cubiertos en el dominio de Adquirir e Implementar, con base en los requerimientos de negocio definidos, usando los criterios de 
informacion de CobiT. La responsabilidad operativa de administrar y controlar los controles de aplicacion no es de Tl, sino del duefio 
del proceso de negocio. 

Por lo tanto, la responsabilidad de los controles de aplicacion es una responsabilidad conjunta, fin a fin, entre el negocio y Tl, pero la 
naturaleza de la responsabilidad cambia de la siguiente manera: 

• La empresa es responsable de: 

- Definir apropiadamente los requisites funcionales y de control 

- Uso adecuadamente los servicios automatizados 

• Tl es responsable de: 

- Automatizar e implementar los requisites de las funciones de negocio y de control 

- Establecer controles para mantener la integridad de controles de aplicacion. 

Por lo tanto, los procesos de Tl de CobiT abarcan a los controles generales de Tl, pero solo los aspectos de desarrollo de los controles 
de aplicacion; la responsabilidad de definir y el uso operativo es de la empresa. 
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La siguiente lista ofrece el conjunto recomendado de objetivos de control de aplicaciones. Identificados por ACn, de Control de 
Aplicacion numero (por sus siglas en ingles): 


AC1 Preparation y Autorizacion de Information Fuente. 

Asegurar que los documentos fuente estan preparados por personal autorizado y calificado siguiendo los procedimientos 
establecidos, teniendo en cuenta una adecuada segregacion de funciones respecto al origen y aprobacion de estos documentos. Los 
errores y omisiones pueden ser minimizados a traves de buenos disenos de formularios de entrada. Detectar errores e irregularidades 
para que sean informados y corregidos. 

AC2 Recoleccion y Entrada de Information Fuente. 

Establecer que la entrada de datos se realice en forma oportuna por personal calificado y autorizado. Las correcciones y reenvfos de 
los datos que fueron erroneamente ingresados se deben realizar sin comprometer los niveles de autorizacion de las transacciones 
originales. En donde sea apropiado para reconstruccion, retener los documentos fuente originales durante el tiempo necesario. 

AC3 Chequeos de Exactltud, Integridad y Autenticidad 

Asegurar que las transacciones son exactas, completas y validas. Validar los datos ingresados, y editar o devolver para corregir, tan 
cerca del punto de origen como sea posible. 

AC4 Integridad y Validez del Procesamiento 

Mantener la integridad y validacion de los datos a traves del ciclo de procesamiento. Deteccion de transacciones erroneas no 
interrumpe le procesamiento de transacciones validas. 

AC5 Revision de Salidas, Reconciliation y Manejo de Errores 

Establecer procedimientos y responsabilidades asociadas para asegurar que la salida se maneja de una forma autorizada, entregada 
al destinatario apropiado, y protegida durante la transmision; que se verifica, detecta y corrige la exactitud de la salida; y que se usa la 
informacion proporcionada en la salida. 

AC6 Autenticacion e Integridad de Transacciones 

Antes de pasar datos de la transaccion entre aplicaciones internas y funciones de negocio/operativas (dentro o fuera de la empresa), 
verificar el apropiado direccionamiento, autenticidad del origen e integridad del contenido. Mantener la autenticidad y la integridad 
durante la transmision o el transporte. 
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Impulsado por la medicion 

Una necesidad basica de toda empresa es entender el estado de sus propios sistemas de Tl y decidir que nivel de administracion y 
control debe proporcionar. Para decidir el nivel correcto, la gerencia debe preguntarse: ^Hasta donde debemos ir?, y ^esta el costo 
justificado por el beneficio? 

La obtencion de una vision objetiva del nivel de desempeno propio de una empresa no es sencilla. i,Que se debe medir y como? Las 
empresas deben medir donde se encuentran y donde se requieren mejoras, e implementar un juego de herramientas gerenciales 
para monitorear esta mejora. CobiT atiende estos temas a traves de: 

• Modelos de madurez que facilitan la evaluacion por medio de benchmarking y la identificacion de las mejoras necesarias en la 
capacidad 

• Metas y mediciones de desempeno para los procesos de Tl, que demuestran como los procesos satisfacen las necesidades del 
negocio y de Tl, y como se usan para medir el desempeno de los procesos internos basados en los principios de un marcador de 
puntuacion balanceado (balanced scorecard) 

• Metas de actividades para facilitar el desempeno efectivo de los procesos 

MODELOS DE MADUREZ 

Cada vez con mas frecuencia, se les pide a los directivos de empresas corporativas y publicas que consideren que tan bien se esta 
administrando TL Como respuesta a esto, se debe desarrollar un plan de negocio para mejorar y alcanzar el nivel apropiado de 
administracion y control sobre la infraestructura de informacion. Aunque pocos argumentarfan que esto no es algo bueno, se debe 
considerar el equilibrio del costo beneficio y estas preguntas relacionadas: 

• i,Que esta haciendo nuestra competencia en la industria, y como estamos posicionados en relacion a ellos? 

• iCuales son las mejores practicas aceptables en la industria, y como estamos posicionados con respecto a estas practicas? 

• Con base en estas comparaciones, ^se puede decir que estamos haciendo lo suficiente? 

• ('.Como identificamos lo que se requiere hacer para alcanzar un nivel adecuado de administracion y control sobre nuestros procesos 
de Tl? 

Puede resultar diffcil proporcionar respuestas significativas a estas preguntas. La gerencia de Tl esta buscando constantemente 
herramientas de evaluacion para benchmarking y herramientas de auto-evaluacion como respuesta a la necesidad de saber que 
hacer de manera eficiente. Comenzando con los procesos y los objetivos de control de alto nivel de CobiT, el dueno del proceso se 
debe poder evaluar de forma progresiva, contra los objetivos de control. Esto responde a tres necesidades: 

1. Una medicion relativa de donde se encuentra la empresa 

2. Una manera de decidir hacia donde ir de forma eficiente 

3. Una herramienta para medir el avance contra la meta 

El modelo de madurez para la administracion y el control de los procesos de Tl se basa en un metodo de evaluacion de la 
organizacion, de tal forma que se pueda evaluar a sf misma desde un nivel de no-existente (0) hasta un nivel de optimizado (5). Este 
enfoque se deriva del modelo de madurez que el Software Engineering Institute definio para la madurez de la capacidad del 
desarrollo de software. Cualquiera que sea el modelo, las escalas no deben ser demasiado granulares, ya que eso harfa que el 
sistema fuera diffcil de usar y sugerirfa una precision que no es justificable debido a que en general, el fin es identificar donde se 
encuentran los problemas y como fijar prioridades para las mejoras. El proposito no es avaluar el nivel de adherencia a los objetivos 
de control. 

Los niveles de madurez estan disehados como perfiles de procesos de Tl que una empresa reconocerfa como descripciones de 
estados posibles actuales y futures. No estan disehados para ser usados como un modelo limitante, donde no se puede pasar al 
siguiente nivel superior sin haber cumplido todas las condiciones del nivel inferior. Con los modelos de madurez de CobiT, a diferencia 
de la aproximacion del CMM original de SEI, no hay intencion de medir los niveles de forma precisa o probar a certificar que un nivel 
se ha conseguido con exactitud. Una evaluacion de la madurez de CobiT resultara en un perfil donde las condiciones relevantes a 
diferentes niveles de madurez se han conseguido, como se muestra en el ejemplo grafico de la figura 11. 


© 2007 IT Governance Institute. All rights reserved, www.itgi.org 


17 




CobiT 4.1 


Figura 1 1 - Posible Nivel de Madurez de un Proceso de Tl 



Posible nivel de madurez de un proceso de Tl: El ejemplo ilustra un proceso que esta ampliamente en el nivel 3, pero 
cumple alqunas acciones con menor nivel de requerimiento mientras sigue investigando en la medicion del desarrollo 

Esto se debe a que cuando se emplea la evaluacion de la madurez con los modelos de CobiT, a menudo algunas implementaciones 
estaran en diferentes niveles aunque no este completa o suficiente. Estas fortalezas pueden apalancarse para seguir mejorando la 
madurez. Por ejemplo, algunas partes del proceso pueden estar bien definidas, y, aun cuando este incompleto, seria erroneo decir 
que no esta definido del todo. 

Utilizando los modelos de madurez desarrollados para cada uno de los 34 procesos Tl de CobiT, la gerencia podra identificar: 

• El desempeno real de la empresa— Donde se encuentra la empresa hoy 

• El estatus actual de la industria— La comparacion 

• El objetivo de mejora de la empresa— Donde desea estar la empresa 

• El crecimiento requerido entre “como es" y “como sera” 


Para hacer que los resultados sean utilizables con facilidad en resumenes gerenciales, donde se presentaran como un medio para 
dar soporte al caso de negocio para planes futures, se requiere contar con un metodo grafico de presentacion (figura 12). 


Figura 12 - Representation Grafica de los Modelos de Madurez 

Inicial / Repetible 

Proceso Administrado y 

No existente Ad hoc pero Intuitivo 

Definido Medible Optimizado 

0 12 

1 1 rU 

3 4 5 

J 1 1 

LEYENDA PARA SIMBOLOS USADOS 

LEYENDA PARA LA CALIFICACION USADA 

0^ Estado actual de la empresa 

0 - No se aplican procesos administrativos en lo absoluto 

1 - Los procesos son ad-hoc y desorganizados 

2 - Los procesos siguen un patron regular 

3 - Los procesos se documentan y se comunican 

4 - Los procesos se monitorean y se miden 

5 - Las buenas practicas se siguen y se automatizan 

'] P Promedio de la industria 

Objetivo de la empresa 


El desarrollo se baso en las descripciones del modelo de madurez generico descritas en la figura 13. 


CobiT es un marco de referencia desarrollado para la administracion de procesos de Tl con un fuerte enfoque en el control. Estas 
escalas deben ser practicas en su aplicacion y razonablemente faciles de entender. El tema de procesos de Tl es esencialmente 
complejo y subjetivo, por lo tanto, es mas facil abordarlo por medio de evaluaciones faciles que aumenten la conciencia, que logren 
un consenso amplio y que motiven la mejora. Estas evaluaciones se pueden realizar ya sea contra las descripciones del modelo de 
madurez como un todo o con mayor rigor, en cada una de las afirmaciones individuales de las descripciones. De cualquier manera, se 
requiere experiencia en el proceso de la empresa que se esta revisando. 

La ventaja de un modelo de madurez es que es relativamente facil para la direccion ubicarse a sf misma en la escala y evaluar que se 
debe hacer si se requiere desarrollar una mejora. La escala incluye al 0 ya que es muy posible que no existan procesos en lo absoluto. 
La escala del 0-5 se basa en una escala de madurez simple que muestra como un proceso evoluciona desde una capacidad no 
existente hasta una capacidad optimizada. 
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Sin embargo, la capacidad administrativa de un proceso no es lo mismo que el desempeno. La capacidad requerida, como se 
determina en el negocio y en las metas de Tl, puede no requerir aplicarse al mismo nivel en todo el ambiente de Tl, es decir, de forma 
inconsistente o solo a un numero limitado de sistemas o unidades. La medicion del desempeno, como se cubre en los proximos 
parrafos, es esencial para determinar cual es el desempeno real de la empresa en sus procesos de Tl. 


Figura 13 - Modelo Generico de Madurez 


0 No Existente- Carencia completa de cualquier proceso reconocible. La empresa no ha reconocido siquiera que existe un 
problema a resolver. 

1 Inicial- Existe evidencia que la empresa ha reconocido que los problemas existen y requieren ser resueltos. Sin embargo; no 
existen procesos estandar en su lugar existen enfoques ad hoc que tienden a ser aplicados de forma individual o caso por 
caso. El enfoque general hacia la administracion es desorganizado. 

2 Repetible- Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares en diferentes areas 
que realizan la misma tarea. No hay entrenamiento o comunicacion formal de los procedimientos estandar, y se deja la 
responsabilidad al individuo. Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los errores 
son muy probables. 

3 Definido- Los procedimientos se han estandarizado y documentado, y se han difundido a traves de entrenamiento. Sin 
embargo, se deja que el individuo decida utilizar estos procesos, y es poco probable que se detecten desviaciones. Los 
procedimientos en sf no son sofisticados pero formalizan las practicas existentes. 

4 Administrado- Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas cuando los procesos 
no esten trabajando de forma efectiva. Los procesos estan bajo constante mejora y proporcionan buenas practicas. Se usa la 
automatizacion y herramientas de una manera limitada o fragmentada. 

5 Optimizado- Los procesos se han refinado hasta un nivel de mejor practica, se basan en los resultados de mejoras 
continuas y en un modelo de madurez con otras empresas. Tl se usa de forma integrada para automatizar el flujo de trabajo, 
brindando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte de manera rapida. 


Aunque una capacidad aplicada de forma apropiada reduce los riesgos, una empresa debe analizar los controles necesarios para 
asegurar que el riesgo sea mitigado y que se obtenga el valor de acuerdo al apetito de riesgo y a los objetivos del negocio. Estos 
controles son dirigidos por los objetivos de control de CobiT. El Apendice III brinda un modelo de madurez para el control interno que 
ilustra la madurez de una empresa con respecto al establecimiento y desempeno del control interno. Con frecuencia, este analisis se 
inicia como respuesta a impulsores externos, aunque idealmente deberfa ser institucionalizado como se documenta en los procesos 
de CobiT P06 Comunicar las aspiraciones y la direccion de la Gerencia y ME2 Monitorear y evaluar el control interno. 

La capacidad, el desempeno y el control son dimensiones de la madurez de un proceso como se ilustra en la figura 14. 


Figura 14 - Las Tres Dimensiones de la Madurez 



El modelo de madurez es una forma de medir que tan bien estan desarrollados los procesos administrativos, esto es, que tan 
capaces son en realidad. Que tan bien desarrollados o capaces deberfan ser, principalmente dependen de las metas de Tl y en las 
necesidades del negocio subyacentes a las cuales sirven de base. Cuanta de esa capacidad es realmente utilizada actualmente para 
retornar la inversion deseada en una empresa. Por ejemplo, habra procesos y sistemas cnticos que requieren de una mayor 
administracion de la seguridad que otros que son menos cnticos. Por otro lado, el grado y sofisticacion de los controles que se 
requiere aplicar en un proceso estan mas definidos por el apetito de riesgo de una empresa y por los requerimientos aplicables. 

Las escalas del modelo de madurez ayudaran a los profesionales a explicarle a la gerencia donde se encuentran los defectos en la 
administracion de procesos de Tl y a establecer objetivos donde se requieran. El nivel de madurez correcto estara influenciado por los 
objetivos de negocio de una empresa, por el ambiente operativo y por las practicas de la industria. Especfficamente, el nivel de 
madurez en la administracion se basara en la dependencia que tenga la empresa en Tl, en su sofisticacion tecnologica y, lo mas 
importante, en el valor de su informacion. 

Un punto de referenda estrategico para una empresa que ayuda a mejorar la administracion y el control de los procesos de Tl se 
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puede encontrar observando los estandares internacionales y las mejores practicas. Las practicas emergentes de hoy en dfa se 
pueden convertir en el nivel esperado de desempeno del rnahana y por lo tanto son utiles para planear donde desea estar la empresa 
en un lapso de tiempo. 

Los modelos de madurez se desarrollan empezando con el modelo generico cualitativo (consulte la figura 13) al cual se ahaden, en 
forma creciente, algunos principios contenidos en los siguientes atributos, a traves de niveles: 

• Conciencia y comunicacion 

• Politicas, estandares y procedimientos 

• Herramientas y automatizacion 

• Habilidades y experiencia 

• Responsabilidad y rendicion de cuentas 

• Establecimiento y medicion de metas 


La tabla de atributos de madurez que se muestra en la figura 15 lista las caractensticas de como se administran los procesos de Tl y 
describe como evolucionan desde un proceso no existente hasta uno optimizado. Estos atributos se pueden usar para una evaluacion 
mas integral, para un analisis de brechas y para la planeacion de mejoras. 

En resumen, los modelos de madurez brindan un perfil generico de las etapas a traves de las cuales evolucionan las empresas para 
la administracion y el control de los procesos de Tl, estos son: 

• Un conjunto de requerimientos y los aspectos que los hacen posibles en los distintos niveles de madurez 

• Una escala donde la diferencia se puede medir de forma sencilla 

• Una escala que se presta a sf misma para una comparacion practica 

• La base para establecer el estado actual y el estado deseado 

• Soporte para un analisis de brechas para determinar que se requiere hacer para alcanzar el nivel seleccionado 

• Tornado en conjunto, una vista de como se administra Tl en la empresa 

Los modelos de madurez CobiT se enfocan en la capacidad, y no necesariamente en el desempeno. No son un numero al cual hay que 
llegar, ni estan disehados para ser una base formal de certificacion con niveles discretos que formen umbrales diffciles de atravesar. 
Sin embargo, se diseharon para ser aplicables siempre, con niveles que brindan una descripcion que una empresa pueda reconocer 
como la mejor para sus procesos. El nivel correcto esta determinado por el tipo de empresa, porsu medio ambiente y por la 
estrategia. 

El desempeno, o la manera en que la capacidad se usa y se implanta, es una decision de rentabilidad. Por ejemplo, un alto nivel de 
administracion de la seguridad quiza se tenga que enfocar solo en los sistemas empresariales mas crfticos. 

Para finalizar, mientras los niveles de madurez mas altos aumentan el control del proceso, la empresa aun necesita analizar, con 
base en los impulsores de riesgo y de valor, cuales mecanismos de control debe aplicar. Las metas genericas de negocio y de Tl, 
como se definen en este marco de trabajo, ayudaran a realizar este analisis. Los objetivos de control de CobiT gufan los mecanismos 
de control y estos se enfocan en que se hace en el proceso; los modelos de madurez se enfocan principalmente en que tan bien se 
administra un proceso. El Apendice III brinda un modelo de madurez generico que muestra el estatus del ambiente de control interno 
y el establecimiento de controles en una empresa. 

Un ambiente de control implantado de forma adecuada, se logra cuando se han conseguido los tres aspectos de madurez (capacidad, 
desempeno y control). El incremento en la madurez reduce el riesgo y mejora la eficiencia, generando menos errores, mas procesos 
predecibles y un uso rentable de los recursos. 

MEDICION DEL DESEMPENO 

Las metricas y las metas se definen en CobiT a tres niveles: 

• Las metas y metricas de Tl que definen lo que el negocio espera de Tl (lo que el negocio usarfa para medir a Tl) 

• Metas y metricas de procesos que definen lo que el proceso de Tl debe generar para dar soporte a los objetivos de Tl (como serfa 
medido el dueno del proceso de Tl) 

• Metricas de desempeno de los procesos (miden que tan bien se desempena el proceso para indicar si es probable alcanzar las 
metas). 
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Figura 15 - 

Tabla de Atributos de Madurez 
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No existe definition de 
responsabilidades y de rendicion 
de cuentas. Las personas toman la 
propiedad de los problemas con 
base en su propia iniciativa de 
manera reactiva. 

Un individuo asume su 
responsabilidad, y por lo general 
debe rendir cuentas aun si esto no 
esta acordado de modo formal. 
Existe confusion acerca de la 
responsabilidad cuando ocurren 
problemas y una cultura de culpas 
tiende a existir. 

La responsabilidad y la rendicion 
de cuentas sobre los procesos 
estan definidas y se han 
identificado a los duenos de los 
procesos de negocio. Es poco 
probable que el dueno del proceso 
tenga la autoridad plena para 

Las responsabilidades y la 

rendicion de cuentas sobre los 

procesos estan aceptadas y 

funcionan de modo que se permite 

al dueno del proceso descargar sus 

responsabilidades. Existe una 

cultura de recompensas que activa 

la action positiva. 

Los duenos de procesos tienen la 

facultad de tomar decisiones y 

medidas. La aceptacion de la 

responsabilidad ha descendido en 

cascada a traves de la 

organizacion de forma consistente. 

Habilidades y 
Experiencia 

No estan definidas las habilidades 
requeridas para el proceso. 

No existe un plan de 
entrenamiento y no hay 
entrenamiento formal. 

Se identifican los requerimientos 
mfnimos de habilidades para areas 
crrticas. 

Se da entrenamiento como 
respuesta a las necesidades, en 
lugar de hacerlo con base en un 
plan acordado. Existe 
entrenamiento informal sobre la 
marc ha. 

Se definen y documentan los 
requerimientos y habilidades para 
todas las areas. 

Existe un plan de entrenamiento 
formal pero todavfa se basa en 
iniciativas individuales. 

Los requerimientos de habilidades 
se actualizan rutinariamente para 
todas las areas, se asegura la 
capacidad para todas las areas 
crrticas y se fomenta la 
certification. 

Se aplican tecnicas maduras de 
entrenamiento de acuerdo al plan 
de entrenamiento y se fomenta la 
comparticion del conocimiento. 

La organizacion fomenta de 
manera formal la mejora continua 

de las habilidades, con base en 

metas persona les y 

organizacionales claramente 

definidas. 

El entrenamiento y la education 

dan soporte a las mejores 

practicas externas y al uso de 

conceptos y tecnicas. Compartir el 

conocimiento es una cultura 

empresarial, y se estan 

desarrollando sistemas basados 

en el conocimiento. Expertos 

externos y Ifderes industriales se 

emplean como gufa. 

Herramientas y 
Automatizacion 

Pueden existir algunas herramientas; 
el uso se basa en herramienta 
estandar de escritorio. 

No existe un enfoque planeado para 
el uso de herramientas 

Existen enfoques comunes para el uso 
de herramientas pero se basan en 
soluciones desarrolladas por 
individuos clave. 

Pueden haberse adquirido 
herramientas de proveedores, pero 
probablemente no se aplican de 
forma correcta o incluso no usarse. 

Existe un plan para el uso y 
estandarizacion de las herramientas 
para automatizar el proceso. 

Se usan herramientas por su 
proposito basico, pero pueden no 
estar de acuerdo al plan acordado, y 

Se implantan las herramientas de 
acuerdo a un plan estandar y algunas 
se han integrado con otras 
herramientas relacionadas. 

Se usan herramientas en las 
principales areas para automatizar la 
administracion del proceso y 
monitorear las actividades y controles. 

Se usan juegos de herramientas 
estandarizados a lo largo de la 
empresa. 

Las herramientas estan 
completamente integradas con otras 
herramientas relacionadas para 
permitir un soporte integral de los 
procesos. 

Se usan las herramientas para dar 
soporte a la mejora de los procesos y 
automaticamente detectar 
excepciones a los controles. 

Polfticas, Estandares y 
Procedimientos 

Existen enfoques ad hoc hacia los 
procesos y las practicas. 

Los procesos y las practicas no 
estan definidos 

Surgen procesos similares y 
comunes pero en su mayorfa son 
intuitivos y parten de la experiencia 
individual. 

Algunos aspectos de los procesos 
son repetibles debido a la 
experiencia individual, y puede 
existir alguna documentacion y 
entendimiento informal de polfticas 
y procedimientos. 

Surge el uso de buenas practicas. 

Los procesos, polfticas y 
procedimientos estan definidos y 
documentados para todas las 
actividades clave. 

El proceso es solido y completo; se 
aplican las mejores practicas 
intern as. 

Todos los aspectos del proceso 
estan documentados y son 
repetibles. La direccion ha 
terminado y aprobado las polfticas. 
Se adoptan y siguen estandares 
para el desarrollo y mantenimiento. 

Se aplican las mejores practicas y 
estandares externos. 

La documentacion de procesos ha 
evolucionado a flujos de trabajo 
automatizados. Los procesos, las 
polfticas y los procedimientos 
estan estandarizados e integrados 
para permitir una administracion y 
mejora extremo a extremo. 

Conciencia y 
Comunicacion 

1 Surge el reconocimiento de la 
necesidad del proceso. 

Existe comunicacion esporadica de 
los problemas. 

2 Existe conciencia de la necesidad 
de actuar. 

La gerencia comunica los 
problemas genera les. 

3 Existe el entendimiento de la 
necesidad de actuar. 

La gerencia es mas formal y 
estructurada en su comunicacion. 

4 Hay entendimiento de los 
requerimientos completos. 

Se aplican tecnicas maduras de 
comunicacion y se usan 
herramientas estandar de 
comunicacion. 

5 Existe un entendimiento avanzado 
y a futuro de los requerimientos. 

Existe una comunicacion proactiva 
de los problemas, basada en las 
tendencias, se aplican tecnicas 
maduras de comunicacion y se 
usan herramientas integradas de 
comunicacion 
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Las metas estan definidas de arriba hacia abajo por lo que una meta de negocio determinara varias metas de Tl que la soporten. Una 
meta de Tl se logra por un proceso o la interaccion de varios procesos. Por lo tanto, las metas de Tl ayudan a definir las diferentes 
metas de proceso. A su vez, cada meta de proceso requiere varias actividades, estableciendo asf las metas de actividad. La figura 16 
proporciona un ejemplo de las relaciones de las metas de negocio, Tl, procesos y actividades. 


Figura 16 - Ejemplo de Relaciones entre Metas 



Los terminos KGI y KPI, empleados en versiones anteriores de CobiT, se han sustituido por dos tipos de metricas: 

• Medidas de Resultado, anteriormente indicador clave de meta (KGIs), indican cuando las metas se han conseguido. Estas pueden 
medirse solo despues el hecho y, por eso, se llaman ‘indicadores pasados’. 

• Los Indicadores de Desempeno, anteriormente indicadores clave de desempeno (KPIs), indican si es probable conseguir la meta. Se 
pueden medir antes de que el resultado sea claro y, por eso, se llaman ‘indicadores futuros’. 

La figura 17 proporciona posibles metas o medidas de resultado para los ejemplos utilizados. 


Figura 17 - Posibles Medidas de Resultados para el Ejemplo de la Figura 16 



Las medidas de resultado de el nivel mas bajo se convierten en indicadores de desempeno para las de nivel mas alto. Como por 
ejemplo en la figura 16, una medida de resultado indica que la deteccion y resolucion de accesos no autorizados tienen como objetivo 
indicar que los servicios de Tl pueden resistir y recuperarse de los ataques. Como decfamos, la medida de resultados se ha convertido 
en indicador de desempeno para la meta de mayor nivel. La figura 18 ilustra como las medidas de resultados del ejemplo se 
convierten en metricas de desempeno. 

Los indicadores de resultado definen mediciones que informan a gerencia— despues del hecho— cuando una funcion, proceso o 
actividad de Tl ha alcanzado sus metas. Los indicadores de resultados de las funciones de Tl a menudo se expresan en terminos de 
criterios de la informacion: 

• Disponibilidad de informacion necesaria para dar soporte a las necesidades del negocio 

• Ausencia de riesgos de integridad y de confidencialidad 

• Eficiencia en costos de procesos y operaciones 

• Confirmacion de confiabilidad, efectividad y cumplimiento 

Los indicadores de desempeno definen las medidas que determinan lo bien que el negocio, la funcion de Tl o los procesos de Tl se 
estan realizando para que se consigan las metas. Son indicadores futuros de que las metas seran probablemente conseguidas, 
impulsando asf a las metas de nivel mas alto. A menudo miden la disponibilidad de capacidades, practicas y habilidades apropiadas, 
y el resultado de las actividades subyacentes. Por ejemplo, un servicio entregado por Tl es una meta para Tl pero es un indicador de 
desempeno y una capacidad para el negocio. Esto es debido a que los indicadores de desempeno se refieren a veces como 
impulsores de desempeno, particularmente en balanced scorecards. 
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Figura 18 - Posibles Impulsores de Desempeno para el Ejemplo de la Figura 16 
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Por lo tanto, las metricas provistas son tanto medidas de resultado de la funcion de Tl, proceso de Tl o meta de la actividad que 
miden, como un indicador de desempeno que impulsa las metas de mas alto nivel del negocio, funcion de Tl o proceso de Tl. 

La figura 19 ilustra la relacion entre las metas de negocio, de Tl, de proceso y de las actividades, y las diferentes metricas. La cascada 
de metas es ilustrada desde arriba a la izquierda hasta arriba a la derecha. Debajo de la meta esta su medida de resultado. La flecha 
indica que la misma metrica es un indicador de desempeno para la meta de mas alto nivel. 


Figura 19 - Relacion entre Procesos, Metas y Metricas (DS5) 
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El ejemplo proporcionado es del DS5 Garantizar la Seguridad de los Sistemas. CobiT proporciona metricas solo para los resultados de 
las metas de Tl marcadas por la Ifnea punteada. Mientras que tambien son indicadores de desempeno para las metas de negocio 
para Tl, CobiT no proporciona medidas de resultado para las metas de negocio. 

Las metas de negocio y Tl utilizadas en la seccion de metas y metricas de CobiT, incluyendo su relacion, son proporcionas en el 
apendice I. Para cada proceso de Tl en CobiT, las metas y metricas se presentan, como se indica en la figura 20. 

Las metricas se han desarrollado con las caracteristicas siguientes en mente: 

• Un alto ratio de vision a esfuerzo (Ej., vision del desempeno y logro de las metas comparado con el esfuerzo de capturarlas) 

• Comparable internamente (Ej. Porcentaje contra una base o numeros en el tiempo) 

• Comparable externamente sin tener en cuenta el tamano de la empresa o industria. 

• Mejor tener pocas metricas buenas (puede incluso ser una muy buena que puede ser influenciadas por diferentes significados) que 
una lista mas larga de metricas de poca calidad. 

• Facil de medir, no confundir con los objetivos. 
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El Modelo del Marco de Trabajo de CobiT 

El marco de trabajo CobiT, por lo tanto, relaciona los requerimientos de informacion y de gobierno a los objetivos de la funcion de 
servicios de Tl. El modelo de procesos CobiT permite que las actividades de Tl y los recursos que los soportan sean administrados y 
controlados basados en los objetivos de control de CobiT, y alineados y monitoreados usando las metas y metricas de CobiT, como se 
ilustra en la figura 21. 


Figura 21 - COBIT Gestion, Control, Alineamiento y Monitoreo 
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Para resumir, los recursos de Tl son manejados por procesos de Tl para lograr metas de Tl que respondan a los requerimientos del 
negocio. Este es el principio basico del marco de trabajo CobiT, como se ilustra en el cubo CobiT (figura 22). 


Figura 22 - El Cubo de COBIT 


Requerimientos de Negocio 



En detalle, el marco de trabajo general CobiT se muestra graficamente en la figura 23, con el modelo de procesos de CobiT compuesto 
de cuatro dominios que contienen 34 procesos genericos, administrando los recursos de Tl para proporcionar informacion al negocio 
de acuerdo con los requerimientos del negocio y de gobierno. 

Aceptabilidad General de CobiT 

CobiT se basa en el analisis y armonizacion de estandares y mejores practicas de Tl existentes y se adapta a principios de gobierno 
generalmente aceptados. Esta posicionado a un nivel alto, impulsado por los requerimientos del negocio, cubre el rango completo de 
actividades de Tl, y se concentra en lo que se debe lograr en lugar de como lograr un gobierno, administracion y control efectivos. Por 
lo tanto, funciona como un integrador de practicas de gobierno de Tl y es de interes para la direccion ejecutiva; para la gerencia del 
negocio, para la gerencia y gobierno de Tl; para los profesionales de aseguramiento y seguridad; asf como para los profesionales de 
auditorfa y control de Tl. Esta disenado para ser complementario y para ser usado junto con otros estandares y mejores practicas. 

La implantacion de las mejores practicas debe ser consistente con el gobierno y el marco de control de la empresa, debe ser 
apropiada para la organizacion, y debe estar integrada con otros metodos y practicas que se utilicen. Los estandares y las mejores 
practicas no son una panacea y su efectividad depende de como hayan sido implementados en realidad y de como se mantengan 
actualizados. Son mas utiles cuando se aplican como un conjunto de principios y como un punto de partida para adaptar 
procedimientos especfficos. La gerencia y el equipo deben entender que hacer, como hacerlo y porque es importante hacerlo para 
garantizar que se utilicen las practicas. 

Para lograr la alineacion de las mejores practicas con los requerimientos del negocio, se recomienda que CobiT se utilice al mas alto 
nivel, brindando asf un marco de control general basado en un modelo de procesos de Tl que debe ser aplicable en general a toda 
empresa. Las practicas y los estandares especfficos que cubren areas discretas, se pueden equiparar con el marco de trabajo de 
CobiT, brindando asf una jerarqufa de materiales gufa. 

CobiT resulta de interes a distintos usuarios: 

• Direccion ejecutiva— Para obtener valor de las inversiones y para balancear las inversiones en riesgo y control en un ambiente de Tl 
con frecuencia impredecible 

• Gerencia del negocio— Para obtener certidumbre sobre la administracion y control de los servicios de Tl, proporcionados 
internamente o por terceros 

• Gerencia de Tl— Para proporcionar los servicios de Tl que el negocio requiere para dar soporte a la estrategia del negocio de una 
forma controlada y administrada 

• Auditores— Para respaldar sus opiniones y/o para proporcionar asesorfa a la gerencia sobre controles internos 

CobiT ha sido desarrollado y es mantenido por un instituto de investigacion sin animo de lucro, tomando la experiencia de los 
miembros de sus asociaciones afiliadas, de los expertos de la industria, y de los profesionales de control y seguridad. Su contenido se 
basa en una investigacion continua sobre las mejores practicas de Tl y se le da un mantenimiento continuo, proporcionando asf un 
recurso objetivo y practico para todo tipo de usuario. 

CobiT esta orientado a los objetivos y al alcance del gobierno de Tl, asegurando que su marco de control sea integral, que este 
alineado con los principios de Gobierno Corporativo y, por lo tanto, que sea aceptable para los consejos directivos, para la direccion 
ejecutiva, para los auditores y reguladores. En el Apendice II, se ofrece un mapa que muestra como los objetivos de control detallados 
de CobiT se relacionan con las cinco areas de enfoque del gobierno de Tl y con las actividades de control de COSO. 
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CobiT 4.1 


Figura 23 - Marco de Trabajo Completo de COBIT 


Objetivos de Negocio 


Objetivos de Gobierno 


COBIT 


ME1 Monitoreary evaluar el desempeno de Tl. 
ME2 Monitoreary evaluar el control interno 
ME3 Garantizar cumplimiento regulatorio. 

ME4 Proporcionar gobierno de Tl. 




Criterios de 
Informacion 


POI Definir el plan estrategico de Tl. 

P02 Definir la arquitectura de la informacion. 

P03 Determinar la direccion tecnologica. 

P04 Definir procesos, organizacion y relaciones de Tl. 

P05 Administrar la inversion enTI. 

P06 Comunicar las aspiraciones y la direccion de la gerencia. 
P07 Administrar recursos humanos de Tl. 

P08 Administrar calidad. 

P09 Evaluar y administrar riesgos de Tl 
POI 0 Administrar proyectos. 


Monitorear y 
Evaluar 



■Efectividad 

•Eficiencia 

■Confidencialidad 

■Integridad 

■Disponibilidad 

■Cumplimiento 

■Confiabilidad 


Rea 

jrsos de 
Tl 


■ 

•Aplicaciones 

■Informacion 

Infra estructura 
■Personas 


Planificary 

Organizar 


Entrega y 



Soporte 

RL /> 

Adquirir e 



Implementar 



DS1 Definir y administrar niveles de servicio. 

DS2 Administrar servicios deterceros. 

DS3 Administrar desempeno y capacidad. 

DS4 Garantizar la continuidad del servicio. 

DS5 Garantizar la seguridad de los sistemas. 

DS6 Identificaryasignarcostos. 

DS7 Educary entrenara los usuarios. 

DS8 Administrar la mesa de servicio y los incidentes. 
DS9 Administrar la configuration. 

DS1 0 Administrar los problemas. 

DS1 1 Administrar los datos. 

DS1 2 Administrar el ambiente ffsico. 

DS1 3 Administrar las operaciones. 


All Identificar soluciones automatizadas. 

AI2 Adquirir y mantener el software aplicativo. 

AI3 Adquirir y mantener la infra estructura tecnologica 
AI4 Facilitar la operation y el uso. 

AI5 Adquirir recursos de Tl. 

AI6 Administrar cambios. 

AI7 Instalar y acreditar soluciones y cambios. 


La figura 24 resume como los distintos elementos del marco de trabajo de CobiT se relacionan con las areas de enfoque del gobierno 
de Tl. 


Figura 24 - Marco de trabajo CobiT y Areas de Enfoque de Gobierno de Tl 
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Marco de Trabajo CobiT 


COMO UTILIZAR ESTE LIBRO 


Navegacidn en el Marco de Trabajo CobiT 


Para cada uno de los procesos Tl de CobiT, se proporciona un objetivo de control de alto nivel, junto con las metas y metricas clave en 
forma de cascada (figura 25). 


Figura 25 - Navegacion en CobiT 


Dentro de cada proceso de Tl, se proporcionan objetivos de control como declaraciones de acciones genericas de la 
gestion minima de buenas practicas para asegurar que el proceso se mantiene bajo control. 



Control sobre el proceso Tl de 

nombre del proceso 

Que satisface el requerimiento del negocio de Tl para 

resumen de las metas de Tl mas importantes 

Enfocandose en 

resumen de las metas de proceso mas importantes 


Planeary 

Organizar 

Adquirir e 
Implementar 


Entregary Oar 
Soporte 


Monitoreary 

Evaluar 


Se logra con 

metas de actividad 



Introduccion a los Componentes Esenciales de CobiT 

El marco de trabajo de CobiT esta compuesto de los siguientes componentes esenciales, incluidos en el resto de esta publicacion y 
organizados en los 34 procesos de Tl, brindando asf una vision completa de como controlar, administrar y medir cada proceso. Cada 
proceso esta cubierto en cuatro secciones, y cada seccion constituye aproximadamente una pagina, de la manera siguiente: 

• La seccion 1 (figura 25) contiene una descripcion del proceso que resume los objetivos del proceso, con el objetivo de control de 
alto nivel representado en formada de cascada. Esta pagina tambien muestra el mapeo de este proceso con los criterios de 
informacion, con los recursos de Tl y con las areas de enfoque de gobierno de Tl, indicando con una P la relacion primaria y con una 
S la secundaria. 

• La seccion 2 contiene los objetivos de control detallados para este proceso. 

• La seccion 3 contiene las entradas y salidas del proceso, la matriz RACI, las metas y las metricas. 

• La seccion 4 contiene el modelo de madurez para el proceso. 
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CobiT 4.1 


Otra forma de visualizar el contenido del desempefio del proceso es: 

• Las entradas del proceso son lo que el duefio del proceso requiere de otros. 

• Los objetivos de control en la descripcion del proceso describen lo que el duefio requiere hacer. 

• Las salidas del proceso son lo que el duefio debe entregar. 

• Las metas y las metricas describen como se debe medir el proceso. 

• La matriz RACI define que se debe delegar y a quien. 

• El modelo de madurez muestra que se debe hacer para mejorar. 

Los roles en la matriz RACI estan clasificados para todos los procesos como sigue: 

• Director ejecutivo (CEO) 

• Director financiero (CFO) 

• Ejecutivos del negocio 

• Director de Informatica (CIO) 

• Duefio del proceso de negocio 

• Jefe de operaciones 

• Arquitecto en jefe 

• Jefe de desarrollo 

• Jefe de administracion de Tl (para empresas grandes, el jefe de funciones como recursos humanos, presupuestos y control inferno) 

• La oficina o funcion de administracion de proyectos (PMO) 

• Cumplimiento, auditona, riesgo y seguridad (grupos con responsabilidades de control que no tienen responsabilidades operativas 
de Tl) 

Ciertos procesos especfficos tienen un rol adicional especializado especffico para ese proceso, Ej., mesa de servicio/administrador de 
incidentes para DS8. 

Se debe observar que, a pesar de que el material es recolectado de cientos de expertos, despues de una rigurosa investigacion y 
revision, las entradas, salidas, responsabilidades, metricas y metas son ilustrativas y no asf preceptivas o exhaustivas. Proporcionan 
una base de conocimiento base del cual cada empresa debe seleccionar lo que aplica de forma eficiente y efectiva, con base en las 
metas y polfticas de la estrategia empresarial. 

Usuarios de los Componentes de CobiT 

La gerencia puede emplear el material de CobiT para evaluar los procesos de Tl empleando las metas de negocio y las metas de Tl 
detalladas en el apendice I para clarificar los objetivos de los procesos de Tl y los procesos de los modelos de madurez para evaluar el 
desempefio actual. 

Los implementadores y auditores pueden identificar requisitos de control aplicables desde los objetivos de control y 
responsabilidades desde las actividades y matrices RACI asociadas. 

Todos los usuarios potenciales se pueden beneficiar del uso del contenido de CobiT como una aproximacion completa a la gestion y 
gobierno de Tl, junto con otros modelos de estandares detallados como: 

• ITIL para la entrega de servicio 

• CMM para la entrega de soluciones 

• ISO 17799 para seguridad de la informacion 

• PMBOK o PRINCE2 para la administracion de proyectos 

Apendices 

Se proporcionan las siguientes secciones de referenda adicional al final del libro: 

• I. Relacion entre metas de negocio y metas de Tl (tres tablas) 

• II. Equivalencia entre procesos de Tl y las areas de enfoque del gobierno de Tl, COSO, recursos Tl de CobiT y criterios de 

informacion CobiT 

• III. Modelo de madurez para el control interno 

• IV. Material primario de referenda para CobiT 4.1 

• V. Referencias cruzadas entre CobiT® 3 a Edicion© y CobiT 4.1 

• VI. Enfoque hacia la investigacion y desarrollo 

• VII. Glosario 

• VIII. CobiT y Productos Relacionados. 
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Planear y Organizar 

P01 Definir un Plan Estrategico de Tl 

P02 Definir la Arquitectura de la Informacion 

P03 Determinar la Direccion Tecnologica 

P04 Definir los Procesos, Organizacion y Relaciones de Tl 

P05 Administrar la Inversion en Tl 

P06 Comunicar las Aspiraciones y la Direccion de la Gerencia 

P07 Administrar Recursos Humanos de Tl 

P08 Administrar la Calidad 

P09 Evaluar y Administrar los Riesgos de Tl 

P010 Administrar Proyectos 


Planear y Organizar 



Planeary Organizar 

Definir un Plan Estrategico de Tl A 


Descripcion DEL Proceso. 


P01 Definir un Plan Estrategico de Tl. 

La planeacion estrategica de Tl es necesaria para gestionar y dirigir todos los recursos de Tl en Ifnea con la estrategia y prioridades 
del negocio. La funcion de Tl y los interesados del negocio son responsables de asegurar que el valor optimo se consigue desde los 
proyectos y el portafolio de servicios. El plan estrategico mejora la comprension de los interesados clave de las oportunidades y 
limitaciones de Tl, evalua el desempeno actual, identifica la capacidad y los requerimientos de recursos humanos, y clarifica el nivel 
de investigacion requerido. La estrategia de negocio y prioridades se reflejaran en portafolios y se ejecutaran por los planes 
estrategicos de Tl, que especifican objetivos concisos, planes de accion y tareas que estan comprendidas y aceptadas tanto por el 
negocio como por Tl. 




Definir un plan estrategico para Tl 

Que satisface el requerimiento del negocio de Tl para 

Sostener o extender los requerimientos de gobierno y de la estrategia del negocio, al mismo tiempo que se mantiene la 
transparencia sobre los beneficios, costos y riesgos 

Enfocandose en 


La incorporacion de Tl y de la gerencia del negocio en la traduccion de los requerimientos del negocio a ofertas de 
servicio, y el desarrollo de estrategias para entregar estos servicios de una forma transparente y rentable 

Se logra con 

• El compromiso con la alta gerencia y con la gerencia del negocio para alinear la planeacion 
estrategica de Tl con las necesidades del negocio actuales y futuras 

• El entendimiento de las capacidades actuales de Tl 

• La aplicacion de un esquema de prioridades para los objetivos del negocio que cuantifique los 
requerimientos del negocio 

Y se mide con 

• El porcentaje de objetivos de Tl en el plan estrategico de Tl, que dan soporte al plan 
estrategico del negocio 


• El porcentaje de proyectos Tl en el portafolio de proyectos que se pueden rastrear hacia el 
plan tactico de Tl 
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Planear y Organizar 

-B- -M. Definir un Plan Estrategico de Tl 


Objetivos de Control 

POl Definir un Plan Estrategico de Tl. 

POl.l Administracion del Valor de Tl 

Trabajar con el negocio para garantizar que el portafolio de inversiones de Tl de la empresa contenga programas con casos de 
negocio solidos. Reconocer que existen inversiones obligatorias, de sustento y discrecionales que difieren en complejidad y grado de 
libertad en cuanto a la asignacion de fondos. Los procesos de Tl deben proporcionar una entrega efectiva y eficiente de los 
componentes Tl de los programas y advertencias oportunas sobre las desviaciones del plan, incluyendo costo, cronograma o 
funcionalidad, que pudieran impactar los resultados esperados de los programas. Los servicios de Tl se deben ejecutar contra 
acuerdos de niveles de servicios equitativos y exigibles. La rendicion de cuentas del logro de los beneficios y del control de los costos 
es claramente asignada y monitoreada. Establecer una evaluacion de los casos de negocio que sea justa, transparente, repetible y 
comparable, incluyendo el valor financiero, el riesgo de no cumplir con una capacidad y el riesgo de no materializar los beneficios 
esperados. 

P01.2 Alineacion de Tl con el Negocio 

Educar a los ejecutivos sobre las capacidades tecnologicas actuales y sobre el rumbo futuro, sobre las oportunidades que ofrece Tl, y 
sobre que debe hacer el negocio para capitalizar esas oportunidades. Asegurarse de que el rumbo del negocio al cual esta alineado Tl 
esta bien entendido. Las estrategias de negocio y de Tl deben estar integradas, relacionando de manera clara las metas de la 
empresa y las metas de Tl y reconociendo las oportunidades asf como las limitaciones en la capacidad actual, y se deben comunicar 
de manera amplia. Identificar las areas en que el negocio (estrategia) depende de forma crftica de Tl, y mediar entre los imperativos 
del negocio y la tecnologfa, de tal modo que se puedan establecer prioridades concertadas. 

P01.3 Evaluacion del Desempeno y la Capacidad Actual 

Evaluar el desempeno de los planes existentes y de los sistemas de informacion en terminos de su contribucion a los objetivos de 
negocio, su funcionalidad, su estabilidad, su complejidad, sus costos, sus fortalezas y debilidades. 

P01.4 Plan Estrategico de Tl 

Crear un plan estrategico que defina, en cooperacion con los interesados relevantes, como Tl contribuira a los objetivos estrategicos 
de la empresa (metas) asf como los costos y riesgos relacionados. Incluye como Tl dara soporte a los programas de inversion 
facilitados por Tl y a la entrega de los servicios operativos. Define como se cumpliran y mediran los objetivos y recibiran una 
autorizacion formal de los interesados. El plan estrategico de Tl debe incluir el presupuesto de la inversion / operativo, las fuentes de 
financiamiento, la estrategia de obtencion, la estrategia de adquisicion, y los requerimientos legales y regulatorios. El plan estrategico 
debe ser lo suficientemente detallado para permitir la definicion de planes tacticos de Tl. 

P01.5 Planes Tacticos de Tl 

Crear un portafolio de planes tacticos de Tl que se deriven del plan estrategico de Tl. Estos planes tacticos deben describir las 
iniciativas y los requerimientos de recursos requeridos por Tl, y como el uso de los recursos y el logro de los beneficios seran 
monitoreados y administrados. Los planes tacticos deben tener el detalle suficiente para permitir la definicion de planes de proyectos. 
Administrar de forma activa los planes tacticos y las iniciativas de Tl establecidas por medio del analisis de los portafolios de 
proyectos y servicios. Esto incluye el equilibrio de los requerimientos y recursos de forma regular, comparandolos con el logro de 
metas estrategicas y tacticas y con los beneficios esperados, y tomando las medidas necesarias en caso de desviaciones. 

P01.6 Administracion del Portafolio de Tl 

Administrar de forma activa, junto con el negocio, el portafolio de programas de inversion de Tl requerido para lograr objetivos de 
negocio estrategicos especificos por medio de la identificacion, definicion, evaluacion, asignacion de prioridades, seleccion, inicio, 
administracion y control de los programas. Esto incluye clarificar los resultados de negocio deseados, garantizar que los objetivos de 
los programas den soporte al logro de los resultados, entender el alcance completo del esfuerzo requerido para lograr los resultados, 
definir una rendicion de cuentas clara con medidas de soporte, definir proyectos dentro del programa, asignar recursos y 
financiamiento, delegar autoridad, y comisionar los proyectos requeridos al momento de lanzar el programa. 
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Planeary Organizar 

Definir un Plan Estrategico de Tl -M- 


Directrices Gerenciales 


P01 Definir un Plan Estrategico de Tl. 


Desde 

Entradas 

P05 

Reportes de costo / beneficio 

P09 

Evaluation de riesgo 

P010 

Portafolio de proyectos actualizado 

DS1 

Requerimientos de servicio nuevos / actualizados; 
portafolio de servicios actualizado 

* 

Estrategia y prioridades del negocio 

* 

Portafolio de programas 

ME1 

Entradas a desempefio de planeacion de Tl 

ME4 

Reporte del estado del gobierno de Tl; direccion 
estrategica de la empresa para Tl 


* Entradas provenientes de fuentes externas a COBIT 


ISalidas 

Hacia 




Plan estrategico de Tl 

P02..P06 

P08 

P09 

All 

DS1 


Plan tactico de Tl 

P02..P06 

P09 

All 

DS1 



Portafolios de proyectos de Tl 

P05 

P06 

P010 

AI6 




Portafolio de servicios de Tl 

P05 

P06 

P09 

DS1 




Estrategia de contratacion externa de Tl 

DS2 







Estrategia de adquisicion de Tl 

"AI5“ 









Metas y Metricas 


’ Responder a I os requerimientos del negocio en 
alineacion con la estrategia del negocio 
' Responder a los requerimientos de gobierno 
alineados con la direccion del consejo directivo 


Procesos 


Definir como los requerimientos de negocio se 
traducen en ofertas de servicio 
Definir la estrategia para la entrega de las 
ofertas de servicio 

Contribuir a la gestion del portafolio de 
inversiones de negocio de Tl 
Establecer claridad del impacto de los riesgos 
en los objetivos y en los recursos Proporcionar 
transparencia y entendimiento de costos, 
beneficios, estrategias, polfticas y niveles de 
servicio de Tl 


Mide 


' Grado de aprobacion de los Duenos del negocic 
de los planes estrategicos/tacticos de Tl 
' Grado de cumplimiento de requerimientos de 
gobierno y de negocio 

* Nivel de satisfaccion del negocio con el estado 
actual del portafolio de proyectos y 
aplicaciones (numero, alcance, etc.) 






Actividades 


Involucrarse con la alta gerencia y la gerencia 
del negocio para alinear los planes estrategicos 
de Tl con las necesidades del negocio actuales 
y futuras 

Entender las capacidades actuales de Tl 
Traducir el plan estrategico de Tl a planes 
tacticos 

Brindar un esquema de prioridades para los 
objetivos del negocio que cuantifiquen los 
requerimientos del negocio 


Mide 


z'n 




Mide 


de objetivos de Tl en el plan estrategico de Tl 
que dan soporte al plan estrategico del negocio 
% de iniciativas de Tl en el plan tactico de Tl 
que da soporte al plan tactico del negocio 
% de proyectos de Tl en el portafolio de 
proyectos de Tl que se pueden rastrear de 
forma directa al plan tactico de Tl 


Retrasos existentes entre las actualizaciones 
del plan estrategico/tactico del negocio y las 
actualizaciones del plan estrategico/tactico de 
Tl 

% de reuniones de planeacion 
estrategica/tactica de Tl donde los 
represents ntes del negocio participaron de 
forma activa 

Retraso entre actualizaciones de planes 
estrategicos de Tl y actualizaciones de planes 
tacticos de Tl 

% de planes tacticos de Tl con el 
contenido/estructura predefinida de esos 
planes 

% de iniciativas/proyectos Tl dirigidos por 
Duenos del negocio 
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Planear y Organizar 

-B- -M. Definir un Plan Estrategico de Tl 


Modelo de Madurez 

POl Definir un Plan Estrategico de Tl. 

Administracion del proceso de Definir un plan estrategico de Tl que satisfaga el requerimiento de negocio de Tl de sostener o 
extender la estrategia de negocio y /os requerimientos de gobierno al mismo tiempo que se mantiene la transparencia sobre /os 
beneficios, costos y riesgos es: 

0 No Existente cuando 

No se Neva a cabo la planeacion estrategica de Tl. No existe conciencia por parte de la gerencia de que la planeacion estrategica de Tl 
es requerida para darsoporte a las metas del negocio. 

1 Inicial / Ad Hoc cuando 

La gerencia de Tl conoce la necesidad de una planeacion estrategica de Tl. La planeacion de Tl se realiza segun se necesite como 
respuesta a un requerimiento de negocio especffico. La planeacion estrategica de Tl se discute de forma ocasional en las reuniones 
de la gerencia de Tl. La alineacion de los requerimientos de las aplicaciones y tecnologfa del negocio se Neva a cabo de modo reactivo 
en lugar de hacerlo por medio de una estrategia organizacional. La posicion de riesgo estrategico se identifica de manera informal 
proyecto por proyecto. 

2 Repetible pero Intuitivo cuando 

La planeacion estrategica de Tl se comparte con la gerencia del negocio segun se necesite. La actualizacion de los planes de Tl ocurre 
como respuesta a las solicitudes de la direccion, Las decisiones estrategicas se toman proyecto por proyecto, sin ser consistentes con 
una estrategia global de la organizacion. Los riesgos y beneficios al usuario, resultado de decisiones estrategicas importantes se 
reconocen de forma intuitiva. 

3 Definido cuando 

Una polftica define como y cuando realizar la planeacion estrategica de Tl. La planeacion estrategica de Tl sigue un enfoque 
estructurado, el cual se documenta y se da a conocer a todo el equipo. El proceso de planeacion de Tl es razonablemente solido y 
garantiza que es factible realizar una planeacion adecuada. Sin embargo, se otorga discrecionalidad a gerentes individuales 
especfficos con respecto a la implantacion del proceso, y no existen procedimientos para analizar el proceso. La estrategia general de 
Tl incluye una definicion consistente de los riesgos que la organizacion esta dispuesta a tomar como innovador o como seguidor. Las 
estrategias de recursos humanos, tecnicos y financieros de Tl influencian cada vez mas la adquisicion de nuevos productos y 
tecnologfas. La planeacion estrategica de Tl se discute en reuniones de la direccion del negocio. 

4 Administrado y Medible cuando 

La planeacion estrategica de Tl es una practica estandary las excepciones son advertidas por la direccion. La planeacion estrategica 
de Tl es una funcion administrativa definida con responsabilidades de alto nivel. La direccion puede monitorear el proceso estrategico 
de Tl, tomar decisiones informadas con base en el plan y medir su efectividad. La planeacion de Tl de corto y largo plazo sucede y se 
distribuye en forma de cascada hacia la organizacion, y las actualizaciones se realizan segun son necesarias. La estrategia de Tl y la 
estrategia organizacional se vuelven cada vez mas coordinadas al abordar procesos de negocio y capacidades de valor agregado y al 
apalancar el uso de aplicaciones y tecnologfas por medio de la re-ingenierfa de procesos de negocio. Existen procesos bien definidos 
para determinar e uso de recursos internos y externos requeridos en el desarrollo y las operaciones de los sistemas. 

5 Optimizado cuando 

La planeacion estrategica de Tl es un proceso documentado y vivo, que cada vez mas se toma en cuenta en el establecimiento de las 
metas del negocio y da como resultado un valor observable de negocios por medio de las inversiones en Tl. Las consideraciones de 
riesgo y de valor agregado se actualizan de modo constante en el proceso de planeacion estrategica de Tl. Se desarrollan planes 
realistas a largo plazo de Tl y se actualizan de manera constante para reflejar los cambiantes avances tecnologicos y el progreso 
relacionado al negocio. Se realizan evaluaciones por comparacion contra normas industriales bien entendidas y confiables y se 
integran con el proceso de formulacion de la estrategia. El plan estrategico especifica como los nuevos avances tecnologicos pueden 
impulsar creacion de nuevas capacidades de negocio y mejorar la ventaja competitiva de la organizacion. 
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Planeary Organizar 13 

Definir la Arquitectura de la Informacion -M- X — J 


Descripcion DEL Proceso. 

P02. Definir la Arquitectura de la Informacion. 

La funcion de sistemas de informacion debe crear y actualizar de forma regular un modelo de informacion del negocio y definir los 
sistemas apropiados para optimizar el uso de esta informacion. Esto incluye el desarrollo de un diccionario corporativo de datos que 
contiene las reglas de sintaxis de los datos de la organizacion, el esquema de clasificacion de datos y los niveles de seguridad. Este 
proceso mejora la calidad de la toma de decisiones gerenciales asegurandose que se proporciona informacion confiable y segura, y 
permite racionalizar los recursos de los sistemas de informacion para igualarse con las estrategias del negocio. Este proceso de Tl 
tambien es necesario para incrementar la responsabilidad sobre la integridad y seguridad de los datos y para mejorar la efectividad y 
control de la informacion compartida a lo largo de las aplicaciones y de las entidades. 



Definir la arquitectura de la informacion 

Que satisface el requerimiento del negocio de Tl para 


Planeary 

Organizar 


Adquirir e 
Implementar 

1 

Entregar y Dar 
Soporte 


Monitoreary 

Evaluar 



Agilizar la respuesta a los requerimientos, proporcionar informacion confiable y consistente, para integrar de forma 
transparente las aplicaciones dentro de los procesos del negocio 


Enfocandose en 


El establecimiento de un modelo de datos empresarial que incluya un esquema de clasificacion de informacion 
que garantice la integridad y consistencia de todos los datos 

Se logra con 

• El aseguramiento de la exactitud de la arquitectura de la informacion y del modelo de datos 

• La asignacion de propiedad de datos 

• La clasificacion de la informacion usando un esquema de clasificacion acordado 

Y se mide con 


• El porcentaje de elementos de datos redundantes / duplicados 

• El porcentaje de aplicaciones que no cumplen con la metodologfa de arquitectura de la 
informacion usada por la empresa 

• La frecuencia de actividades de validacion de datos 



| Primario Secundario 
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P Planear y Organizar 

-B- Definir la Arquitectura de la Informacion 


Objetivos de Control 

P02. Definir la Arquitectura de la Informacion. 

P02.1 Modelo de Arquitectura de Informacion Empresarial 

Establecer y mantener un modelo de informacion empresarial que facilite el desarrollo de aplicaciones y las actividades de soporte a 
la toma de decisiones, consistente con los planes de Tl como se describen en POl. El modelo debe facilitar la creacion, uso y el 
compartir en forma optima la informacion por parte del negocio de tal manera que se mantenga su integridad, sea flexible, funcional, 
rentable, oportuna, segura y tolerante a fallos. 

P02.2 Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos 

Mantener un diccionario de datos empresarial que incluya las reglas de sintaxis de datos de la organizacion. El diccionario facilita 
compartir elementos de datos entre las aplicaciones y los sistemas, fomenta un entendimiento comun de datos entre los usuarios de 
Tl y del negocio, y previene la creacion de elementos de datos incompatibles 

P02.3 Esquema de Clasificacion de Datos 

Establecer un esquema de clasificacion que aplique a toda la empresa, basado en que tan crftica y sensible es la informacion (esto 
es, publica, confidencial, secreta) de la empresa. Este esquema incluye detalles acerca de la propiedad de datos, la definicion de 
niveles apropiados de seguridad y de controles de proteccion, y una breve descripcion de los requerimientos de retencion y 
destruccion de datos, ademas de que tan crfticos y sensibles son. Se usa como base para aplicar controles como el control de acceso, 
archivo o cifrado. 

P02.4 Administracion de Integridad 

Definir e Implementar procedimientos para garantizar la integridad y consistencia de todos los datos almacenados en formato 
electronico, tales como bases de datos, almacenes de datos y archivos. 
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Planeary Organizar 

Definir la Arquitectura de la Informacion -M- X — J 


Directrices Gerenciales 

P02. Definir la Arquitectura de la Informacion. 


Desde 

Entradas 

POl 

Planes estrategicos y tacticos de Tl 

All 

Estudio de Viabilidad de Requerimientos de Negocio 

AI7 

Revision post implementacion 

DS3 

Informacion de desempeho y capacidad 

ME1 

Entrada de Desempeno a planes de Tl 


Salidas 

Hacia 


Esquema de clasificacion de datos 

AI2 







Plan de sistemas de negocio 
optimizado 

P03 

AI2 






Diccionario de datos 

AI2 

DS11 






Arquitectura de la informacion 

P03 

DS5 






Clasificacion de datos asignada 

DS1 

DS4 

DS5 

DS11 

DS12 



Procedimientos y herramientas de 
clasificacion 

* 








* Salidas externas a COBIT 



Una matriz RACI identifica quien es Responsable, quien debe rendir cuentas (A), quien debe ser Consultado y/o Informado 


Metas y Metricas 


’ Optimizar el uso de la informacion 

' Garantizar la integracion transparente de 
las aplicaciones hacia los procesos de 
negocio 

’ Responder a los requerimientos de 
negocio de manera alineada con la 
estrategia del negocio 

' Crear agilidad de Tl 


Procesos 


Establecer un modelo de datos 
empresarial 

Reducir la redundancia de los datos 
Dar soporte efectivo a la administration 
de informacion 


Actividades 


• Garantizar la exactitud de la arquitectura 
de informacion y del modelo de datos 

• Asignar propiedad de datos 
Clasificacion de la informacion usando un 
esquema de clasificacion acordado 

• Asegurar la consistencia entre los 
componentes de la arquitectura Tl 
(arquitectura de informacion, diccionario 
de datos, aplicaciones sintaxis de datos, 
esquemas de clasificacion y niveles de 
seguridad) Mantener integridad de datos 


Mide 


■sfo 


Mide 


N&? 


Mide 



• % de satisfaction de los usuarios 


• % de elementos de datos que no son 


• Frecuencia de actualizaciones al modelo 


respecto al modelo de informacion (esto 


parte del modelo de datos empresarial 


empresarial de datos 


es, ie\ modelo de datos es facil de usar?) 


• % de falta de cumplimiento del esquema 


• % de elementos de datos que no tienen 


• % de elementos de datos redundantes / 


de clasificacion de datos 


Dueno 


duplicados 


• % de aplicaciones que no cumplen con la 


* Frecuencia de actividades de validation 




arquitectura de informacion 


de datos 

m 

u 





* Nivel de participation de la comunidad de 

k_ 

*-< 





usuarios 

2 
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P Planear y Organizar 

-B- Definir la Arquitectura de la Informacion 


Modelo de Madurez 

P02. Definir la Arquitectura de la Informacion. 

La administracion del proceso de Definir la arquitectura de la informacion que satisface el requerimiento de negocio de Tl de agilizar 
la respuesta a /os requerimientos, para brindar informacion confiable y consistente y para integrar de forma transparente las 
aplicaciones hacia los procesos de negocio es: 

0 No Existente cuando 

No existe conciencia de la importancia de la arquitectura de la informacion para la organizacion. El conocimiento, la experiencia y las 
responsabilidades necesarias para desarrollar esta arquitectura no existen en la organizacion. 

1 Inicial / Ad Hoc cuando 

La gerencia reconoce la necesidad de una arquitectura de informacion. El desarrollo de algunos componentes de una arquitectura de 
informacion ocurre de manera ad hoc. Las definiciones abarcan datos en lugar de informacion, y son impulsadas por ofertas de 
proveedores de software aplicativo. Existe una comunicacion esporadica e inconsistente de la necesidad de una arquitectura de 
informacion. 

2 Repetible pero Intuitivo cuando 

Surge un proceso de arquitectura de informacion y existen procedimientos similares, aunque intuitivos e informales, que se siguen 
por distintos individuos dentro de la organizacion. Las personas obtienen sus habilidades al construir la arquitectura de informacion 
por medio de experiencia practica y la aplicacion repetida de tecnicas. Los requerimientos tacticos impulsan el desarrollo de los 
componentes de la arquitectura de la informacion por parte de los individuos. 

3 Definido cuando 

La importancia de la arquitectura de la informacion se entiende y se acepta, y la responsabilidad de su aplicacion se asigna y se 
comunica de forma clara. Los procedimientos, herramientas y tecnicas relacionados, aunque no son sofisticados, se han 
estandarizado y documentado y son parte de actividades informales de entrenamiento. Se han desarrollado polfticas basicas de 
arquitectura de informacion, incluyendo algunos requerimientos estrategicos, aunque el cumplimiento de polfticas, estandares y 
herramientas no se refuerza de manera consistente. Existe una funcion de administracion de datos definida formalmente, que 
establece estandares para toda la organizacion, y empieza a reportar sobre la aplicacion y uso de la arquitectura de la informacion. 
Las herramientas automatizadas se empiezan a utilizar, aunque los procesos y reglas son definidos por los proveedores de software 
de bases de datos. Un plan formal de entrenamiento ha sido desarrollado, pero el entrenamiento formal se basa en iniciativas 
individuales. 

4 Administrado y Medible cuando 

Se da soporte completo al desarrollo e implantacion de la arquitectura de informacion por medio de metodos y tecnicas formales. La 
responsabilidad sobre el desempeho del proceso de desarrollo de la arquitectura se refuerza y se mide el exito de la arquitectura de 
informacion. Las herramientas automatizadas de soporte estan ampliamente generalizadas, pero todavfa no estan integradas. Se han 
identificado metricas basicas y existe un sistema de medicion. El proceso de definicion de la arquitectura de informacion es proactivo 
y se enfoca en resolver necesidades futuras del negocio. La organizacion de administracion de datos esta activamente involucrada en 
todos los esfuerzos de desarrollo de las aplicaciones, para garantizar la consistencia. Un repositorio automatizado esta totalmente 
implementado. Se encuentran en implantacion modelos de datos mas complejos para aprovechar el contenido informativo de las 
bases de datos. Los sistemas de informacion ejecutiva y los sistemas de soporte a la toma de decisiones aprovechan la informacion 
existente. 

5 Optimizado cuando 

La arquitectura de informacion es reforzada de forma consistente a todos los niveles. El valor de la arquitectura de la informacion 
para el negocio se enfatiza de forma continua. El personal de Tl cuenta con la experiencia y las habilidades necesarias para 
desarrollar y dar mantenimiento a una arquitectura de informacion robusta y sensible que refleje todos los requerimientos del 
negocio. La informacion provista por la arquitectura se aplica de modo consistente y amplio. Se hace un uso amplio de las mejores 
practicas de la industria en el desarrollo y mantenimiento de ia arquitectura de informacion incluyendo un proceso de mejora 
continua. La estrategia para el aprovechamiento de la informacion por medio de tecnologfas de bodega de datos y minerfa de datos 
esta bien definida. La arquitectura de la informacion seencuentra en mejora continua ytoma en cuenta informacion no tradicional 
sobre los procesos, organizaciones y sistemas. 
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Planeary Organizar 

Determinar la Direccion Tecnologica -M- 


Descripcion DEL Proceso. 

P03. Determinar la Direccion Tecnologica. 

La funcion de servicios de informacion debe determinar la direccion tecnologica para dar soporte al negocio. Esto requiere de la 
creacion de un plan de infraestructura tecnologica y de un comite de arquitectura que establezca y administre expectativas realistas y 
Claras de lo que la tecnologfa puede ofrecer en terminos de productos, servicios y mecanismos de aplicacion. El plan se debe 
actualizar de forma regular y abarca aspectos tales como arquitectura de sistemas, direccion tecnologica, planes de adquisicion, 
estandares, estrategias de migracion y contingencias. Esto permite contar con respuestas oportunas a cambios en el ambiente 
competitivo, economfas de escala para consecucion de personal de sistemas de informacion e inversiones, asf como una 
interoperabilidad mejorada de las plataformas y de las aplicaciones. 



Determinar la direccion tecnologica 


Planeary 

Organizar 


Adquirir e 
Implementar 

1 

Entregary Dar 
Soporte 


Monitoreary 

Evaluar 



Que satisface el requerimiento del negocio de Tl para 

Contar con sistemas aplicativos estandares, bien integrados, rentables y estables, asf como recursos y capacidades que 
satisfagan requerimientos de negocio, actuales y futuros 

Enfocandose en 

La definicion e implementacion de un plan de infraestructura tecnologica, una arquitectura y estandares que 
tomen en cuenta y aprovechen las oportunidades tecnologicas 

Se logra con 

• El establecimiento de un foro para dirigir la arquitectura y verificar el cumplimiento 

• El establecimiento de un plan de infraestructura tecnologica equilibrado versus costos, riesgos y 
requerimientos. 

• La definicion de estandares de infraestructura tecnologica basados en requerimientos de 
arquitectura de informacion 

Y se mide con 


• El numero y tipo de desviaciones con respecto al plan de infraestructura tecnologica 

• Frecuencia de las revisiones/actualizaciones del plan de infraestructura tecnologica 

• Numero de plataformas de tecnologfa por funcion a traves de toda la empresa 
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Planear y Organizar 

-B- ^ Determinar la Direccion Tecnologica 


Objetivos de Control 

P03. Determinar la Direccion Tecnologica. 

P03.1 Planeacion de la Direccion Tecnologica 

Analizar las tecnologias existentes y emergentes y planear cual direccion tecnologica es apropiada tomar para materializar la 
estrategia de Tl y la arquitectura de sistemas del negocio. Tambien identificar en el plan que tecnologfas tienen el potencial de crear 
oportunidades de negocio. El plan debe abarcar la arquitectura de sistemas, la direccion tecnologica, las estrategias de migracion y 
los aspectos de contingencia de los componentes de la infraestructura. 

P03.2 Plan de Infraestructura Tecnologica 

Crear y mantener un plan de infraestructura tecnologica que este de acuerdo con los planes estrategicos y tacticos de Tl. El plan se 
basa en la direccion tecnologica e incluye acuerdos para contingencias y orientacion para la adquisicion de recursos tecnologicos. 
Tambien toma en cuenta los cambios en el ambiente competitivo, las economfas de escala para inversiones y personal en sistemas 
de informacion, y la mejora en la interoperabilidad de las plataformas y las aplicaciones. 

P03.3 Monitoreo de Tendencies y Regulaciones Futuras 

Establecer un proceso para monitorear las tendencias ambientales del sector / industria, tecnologicas, de infraestructura, legales y 
regulatorias. Incluir las consecuencias de estas tendencias en el desarrollo del plan de infraestructura tecnologica de Tl. 

P03.4 Estandares Tecnologicos 

Proporcionar soluciones tecnologicas consistentes, efectivas y seguras para toda la empresa, establecer un foro tecnologico para 
brindar directrices tecnologicas, asesoria sobre los productos de la infraestructura y gufas sobre la seleccion de la tecnologfa, y medir 
el cumplimiento de estos estandares y directrices. Este foro impulsa los estandares y las practicas tecnologicas con base en su 
importancia y riesgo para el negocio y en el cumplimiento de requerimientos externos. 

P03.5 Consejo de Arquitectura de Tl 

Establecer un comite de arquitectura de Tl que proporcione directrices sobre la arquitectura y asesorfa sobre su aplicacion, y que 
verifique el cumplimiento. Esta entidad orienta el diseno de la arquitectura de Tl garantizando que facilite la estrategia del negocio y 
tome en cuenta el cumplimiento regulatorio y los requerimientos de continuidad. Estos aspectos se vinculan con el P02 Definir 
arquitectura de la informacion. 
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Planeary Organizar ^ 

Determinar la Direccion Tecnologica -M- 


Directrices Gerenciales 

P03. Determinar la Direccion Tecnologica. 


Salidas 

Hacia 

Oportunidades tecnologicas 

AI3 







Estandares tecnologicos 

All 

AI3 

AI7 

DS5 




Actualizaciones rutinarias del “estado 
de la tecnologfa" 

All 

AI2 

AI3 





Plan de infraestructura tecnologica 

AI3 







Requerimientos de infraestructura 

P05 








Desde 

Entradas 

POl 

Planes estrategicos y tacticos de Tl 

P02 

Plan optimizado de sistemas del negocio y 


arquitectura de informacion 

AI3 

Actualizaciones de los estandares tecnologicos 

DS3 

Informacion de desempefio y capacidad 



Una matriz RACI identifica quien es Responsable, quien debe rendir cuentas (A), quien debe ser Consultado y/o Informado 


Metas y Metricas 



Tl 


Procesos 


Actividades 


• Optimizar la infraestructura, los recursos 


• Reconocer y aprovechar las 


• Definir los estandares de la 


y las capacidades de Tl 


oportunidades tecnologicas 


infraestructura tecnica con base en los 


• Adquirir y mantener integrados y 
estandarizados los sistemas de 


• Desarrollar e Implementar el plan de 
infraestructura tecnologica 


requerimientos de la arquitectura de la 
informacion 


aplicacion 


• Definir los estandares tecnologicos y de 


• Establecer el plan de la infraestructura 
tecnica equilibrado contra los costos, 
riesgos y requerimientos 

(A 


a> 

arquitectura para la infraestructura de la ' 
Tl 

0) 

fU 


<D 

-Q 


_0| 

_Q 

• Establecer un foro para orientar la 

<u 


CU 

(/) 

LU 


TO 

(/> 

LU 

arquitectura y verificar el cumplimiento 


Mide 


% 


Mide 


Mide 


' # y tipo de desviaciones con respecto al 
plan de infraestructura tecnologica 


% de incumplimiento de los estandares 
tecnologicos 

# de plataformas tecnologicas por 
funcion a lo largo de toda la empresa 


Frecuencia de las reuniones sostenidas 
por el foro tecnologico 
Frecuencia de las reuniones sostenidas 
por el comite de arquitectura de Tl 
• Frecuencia de la revision / actualizacion 
del plan de infraestructura tecnologica 
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Planear y Organizar 

-B- ^ Determinar la Direccion Tecnologica 


Modelo de Madurez 

P03. Determinar la Direccion Tecnologica. 

Administracion del proceso de Determinar la direccion tecnologica que satisfaga el requerimiento de negocio de Tl de contarcon 
sistemas aplicativos estables, rentables e integrados, asfcomo con recursos y capacidades que satisfagan /os requerimientos de 
negocio, actuates y futuros es: 

0 No Existente cuando 

No existe conciencia sobre la importancia de la planeacion de la infraestructura tecnologica para la entidad. El conocimiento y la 
experiencia necesarios para desarrollar dicho plan de infraestructura tecnologica no existen. Hay una carencia de entendimiento de 
que la planeacion del cambio tecnologico es critica para asignar recursos de manera efectiva. 

1 Inicial / Ad Hoc cuando 

La gerencia reconoce la necesidad de planear la infraestructura tecnologica. El desarrollo de componentes tecnologicos y la 
implementacion de tecnologfas emergentes son ad hoc y aisladas. Existe un enfoque reactivo y con foco operativo hacia la planeacion 
de la infraestructura. La direccion tecnologica esta impulsada por los planes evolutivos, con frecuencia contradictorios, del hardware, 
del software de sistemas y de los proveedores de software aplicativo. La comunicacion del impacto potencial de los cambios en la 
tecnologfa es inconsistente. 

2 Repetible pero Intuitivo cuando 

Se difunde la necesidad e importancia de la planeacion tecnologica. La planeacion estactica yse enfoca en generar soluciones 
tecnicas a problemas tecnicos, en lugar de usar la tecnologia para satisfacer las necesidades del negocio. La evaluacion de los 
cambios tecnologicos se delega a individuos que siguen procesos intuitivos, aunque similares. Las personas obtienen sus habilidades 
sobre planeacion tecnologica a traves de un aprendizaje practico y de una aplicacion repetida de las tecnicas. Estan surgiendo 
tecnicas y estandares comunes para el desarrollo de componentes de la infraestructura. 

3 Definido cuando 

La gerencia esta consciente de la importancia del plan de infraestructura tecnologica. El proceso para el plan de infraestructura 
tecnologica es razonablemente solido y esta alineado con el plan estrategico de TL Existe un plan de infraestructura tecnologica 
definido, documentado y bien difundido, aunque se aplica de forma inconsistente. La orientacion de la infraestructura tecnologica 
incluye el entendimiento de donde la empresa desea ser Ifder y donde desea rezagarse respecto al uso de tecnologfa, con base en los 
riesgos y en la alineacion con la estrategia organizacional. Los proveedores clave se seleccionan con base en su entendimiento de la 
tecnologfa a largo plazo y de los planes de desarrollo de productos, de forma consistente con la direccion de la organizacion. 

4 Administrado y Medible cuando 

La direccion garantiza el desarrollo del plan de infraestructura tecnologica. El equipo de Tl cuenta con la experiencia y las habilidades 
necesarias para desarrollar un plan de infraestructura tecnologica. El impacto potencial de las tecnologfas cambiantes y emergentes 
se toma en cuenta. La direccion puede identificar las desviaciones respecto al plan y anticipar los problemas. La responsabilidad del 
desarrollo y mantenimiento del plan de infraestructura tecnologica ha sido asignada. El proceso para desarrollar el plan de 
infraestructura tecnologica es sofisticado y sensible a los cambios. Se han incluido buenas practicas internas en el proceso. La 
estrategia de recursos humanos esta alineada con la direccion tecnologica, para garantizar que el equipo de Tl pueda administrar los 
cambios tecnologicos. Los planes de migracion para la introduccion de nuevas tecnologfas estan definidos. Los recursos externos y 
las asociaciones se aprovechan para tener acceso a la experiencia y a las habilidades necesarias. La direccion ha evaluado la 
aceptacion del riesgo de usar la tecnologfa como Ifder, o rezagarse en su uso, para desarrollar nuevas oportunidades de negocio o 
eficiencias operativas. 

5 Optimizado cuando 

Existe una funcion de investigacion que revisa las tecnologfas emergentes y evolutivas y para evaluar la organizacion por comparacion 
contra las normas industriales. La direccion del plan de infraestructura tecnologica esta impulsada por los estandares y avances 
industriales e internacionales, en lugar de estar orientada por los proveedores de tecnologfa. El impacto potencial de los cambios 
tecnologicos sobre el negocio se revisa al nivel de la alta direccion. Existe una aprobacion ejecutiva formal para el cambio de la 
direccion tecnologica o para adoptar una nueva. La entidad cuenta con un plan robusto de infraestructura tecnologica que refleja los 
requerimientos del negocio, es sensible a los cambios en el ambiente del negocio y puede reflejar los cambios en este. Existe un 
proceso continuo y reforzado para mejorar el plan de infraestructura tecnologica. Las mejores practicas de la industria se usan de 
forma amplia para determinar la direccion tecnica. 
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Planeary Organizar 

Definir los Procesos, Organization y Relaciones de Ti -M- 


Descripcion DEL Proceso. 


P04. Definir los Procesos, Organizacion y Relaciones de TI. 


Una organizacion de TI se debe definir tomando en cuenta los requerimientos de personal, funciones, rendicion de cuentas, 
autoridad, roles, responsabilidades y supervision. La organizacion esta embebida en un marco de trabajo de procesos de TI que 
asegure la transparencia y el control, asf como el involucramiento de los altos ejecutivos y de la gerencia del negocio. Un comite 
estrategico debe garantizar la vigilancia del consejo directivo sobre TI, y uno 6 mas comites de direccion, en los cuales participen 
tanto el negocio como TI, deben determinar las prioridades de los recursos de TI alineados con las necesidades del negocio. Deben 
existir procesos, polfticas de administracion y procedimientos para todas las funciones, con atencion especffica en el control, el 
aseguramiento de la calidad, la administracion de riesgos, la seguridad de la informacion, la propiedad de datos y de sistemas y la 
segregacion de funciones. Para garantizar el soporte oportuno de los requerimientos del negocio, TI se debe involucrar en los 
procesos importantes de decision. 


Control sobre el proceso TI de 

Definir los procesos, organizacion y relaciones de TI 




Que satisface el requerimiento del negocio de TI para 


Agilizar la respuesta a las estrategias del negocio mientras se cumplen los requerimientos de gobierno y se establecen 
puntos de contacto definidos y competentes 

Enfocandose en 


El establecimiento de estructuras organizacionales de TI transparentes, flexibles y responsables, y en la definicion 
e implementacion de procesos de TI con duefios, y en la integracion de roles y responsabilidades hacia los 
procesos de negocio y de decision 

Se logra con 


• La definicion de un marco de trabajo de procesos de TI 

• El establecimiento de un cuerpo y una estructura organizacional apropiada 

• La definicion de roles y responsabilidades 

Y se mide con 



| Primario Secundario 


• El porcentaje de roles con descripciones de puestos y autoridad documentados 

• El numero de unidades/procesos de negocio que no reciben soporte de TI y que deberfan 
recibirlo, de acuerdo con la estrategia 

• Numero de actividades clave de TI fuera de la organizacion de TI que no son aprobadas y que 
no estan sujetas a los estandares organizacionales de TI 
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Objetivos de Control 

P04. Definir los Procesos, Organizacion y Relaciones de Tl. 

P04.1 Marco de Trabajo de Procesos de Tl 

Definir un marco de trabajo para el proceso de Ti para ejecutar el plan estrategico de Tl. Este marco incluye estructura y relaciones de 
procesos de Tl (administrando brechas y superposiciones de procesos), propiedad, medicion del desempeno, mejoras, cumplimiento, 
metas de calidad y planes para alcanzarlas. Proporciona integracion entre los procesos que son especfficos para Tl, administracion 
del portafolio de la empresa, procesos de negocio y procesos de cambio del negocio. El marco de trabajo de procesos de Tl debe estar 
integrado en un sistema de administracion de calidad y en un marco de trabajo de control interno. 

P04.2 Comite Estrategico de Tl 

Establecer un comite estrategico de Tl a nivel del consejo. Este comite debera asegurar que el gobierno de Tl, como parte del gobierno 
corporativo, se maneja de forma adecuada, asesora sobre la direccion estrategica y revisa las inversiones principales a nombre del 
consejo completo. 

P04.3 Comite Directivo de Tl 

Establecer un comite directivo de Tl (o su equivalente) compuesto por la gerencia ejecutiva, del negocio y de Tl para: 

• Determinar las prioridades de los programas de inversion de Tl alineadas con la estrategia y prioridades de negocio de la empresa 

• Dar seguimiento al estatus de los proyectos y resolver los conflictos de recursos 

• Monitorear los niveles de servicio y las mejoras del servicio. 

P04.4 Ubicacion Organizacional de la Funcion de Tl 

Ubicar a la funcion de Tl dentro de la estructura organizacional general con un modelo de negocios supeditado a la importancia de Tl 
dentro de la empresa, en especial en funcion de que tan crftica es para la estrategia del negocio y el nivel de dependencia operativa 
sobre Tl. La Ifnea de reporte del CIO es proporcional con la importancia de Tl dentro de la empresa. 

P04.5 Estructura Organizacional 

Establecer una estructura organizacional de Tl interna y externa que refleje las necesidades del negocio. Ademas implementar un 
proceso para revisar la estructura organizacional de Tl de forma periodica para ajustar los requerimientos de personal y las 
estrategias internas para satisfacer los objetivos de negocio esperados y las circunstancias cambiantes. 

P04.6 Establecimiento de Roles y Responsabilidades 

Definir y comunicar los roles y las responsabilidades para el personal de Tl y los usuarios que delimiten la autoridad entre el personal 
de Tl y los usuarios finales y definfan las responsabilidades y rendicion de cuentas para alcanzar las necesidades del negocio. 

P04.7 Responsabilidad de Aseguramiento de Calidad deTI 

Asignar la responsabilidad para el desempeno de la funcion de aseguramiento de calidad (QA) y proporcionar al grupo de QA sistemas 
de QA, los controles y la experiencia para comunicarlos. Asegurar que la ubicacion organizacional, las responsabilidades y el tamafio 
del grupo de QAsatisfacen los requerimientos de la organizacion. 

P04.8 Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento 

Establecer la propiedad y la responsabilidad de los riesgos relacionados con Tl a un nivel superior apropiado. Definir y asignar roles 
crfticos para administrar los riesgos de Tl, incluyendo la responsabilidad especffica de la seguridad de la informacion, la seguridad 
fisica y el cumplimiento. Establecer responsabilidad sobre la administracion del riesgo y la seguridad a nivel de toda la organizacion 
para manejar los problemas a nivel de toda la empresa. Puede ser necesario asignar responsabilidades adicionales de administracion 
de la seguridad a nivel de sistema especffico para manejar problemas relacionados con seguridad. Obtener orientacion de la alta 
direccion con respecto al apetito de riesgo de Tl y la aprobacion de cualquier riesgo residual de Tl. 

P04.9 Propiedad de Datos y de Sistemas 

Proporcionar al negocio los procedimientos y herramientas que le permitan enfrentar sus responsabilidades de propiedad sobre los 
datos y los sistemas de informacion. Los duefios toman decisiones sobre la clasificacion de la informacion y de los sistemas y sobre 
como protegerlos de acuerdo a esta clasificacion. 

P04.10 Supervision 

Implementar practicas adecuadas de supervision dentro de la funcion de Tl para garantizar que los roles y las responsabilidades se 
ejerzan de forma apropiada, para evaluar si todo el personal cuenta con la suficiente autoridad y recursos para ejecutar sus roles y 
responsabilidades y para revisar en general los indicadores clave de desempeno. 

P04.ll Segregacion de Funciones 

Implementar una division de roles y responsabilidades que reduzca la posibilidad de que un solo individuo afecte negativamente un 
proceso crftico. La gerencia tambien se asegura de que el personal realice solo las tareas autorizadas, relevantes a sus puestos y 
posiciones respectivas. 

P04.12 Personal de Tl 

Evaluar los requerimientos de personal de forma regular o cuando existan cambios importantes en el ambiente de negocios, operativo 
o de Tl para garantizar que la funcion de Tl cuente con un numero suficiente de recursos para soportar adecuada y apropiadamente a 
las metas y objetivos del negocio. 
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P04.13 Personal Clave de TI 

Definir e identificar al personal clave de TI y minimizar la dependencia en un solo individuo desempenando una funcion de trabajo 
critica. 

P04.14 Polfticas y Procedimientos para Personal Contratado 

Asegurar que los consultores y el personal contratado que soporta la funcion de TI cumplan con las polfticas organizacionales de 
proteccion de los activos de informacion de la empresa de tal manera que se logren los requerimientos contractuales acordados. 

P04.15 Relaciones 

Establecer y mantener una estructura optima de enlace, comunicacion y coordinacion entre la funcion de TI y otros interesados dentro 
y fuera de la funcion de TI, tales como el consejo directivo, ejecutivos, unidades de negocio, usuarios individuales, proveedores, 
oficiales de seguridad, gerentes de riesgo, el grupo de cumplimiento corporativo, los contratistas externos y la gerencia externa 
(offsite). 
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Pagina dejada en bianco intencionadamente. 
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Directrices Gerenciales 


P04. Definir los Procesos, Organizacion y Relaciones de TI. 


Desde 

Entradas 

POl 

Planes estrategicos y tacticos de TI 

P07 

Politicas y procedimientos de TI y RH, matriz de 
habilidades de TI, descripciones de puestos 

P08 

Actividades de mejoramiento de calidad 

P09 

Planes de actividades para corregir riesgos relacionados 
con TI 

ME1 

Planes de acciones correctivas 

ME2 

Reportes de efectividad de los controles de TI 

ME3 

Catalogo de requerimientos legalesy regulatorios 
relacionados con los servicios de TI 

ME4 

Mejoras al marco de procesos 


Salidas 

Hacia 


Marco de trabajo para el proceso de 
TI 

ME4 







Duenos de sistemas documentados 

AI7 

DS6 






Organizacion y relaciones de TI 

P07 







Marco de procesos, roles 
documentados y responsabilidades 
de TI 

Todos 







Roles y responsabilidades 
documentados 

P07 








Matriz RACI 


Funciones 


Actividades 



Establecer estructura organizacional de TI, incluyendo comites y ligas a los interesados y 
proveedores 

C 

C 

C 

A 


c 

c 

c 

R 

C 

1 

Disenar marco de trabajo para el proceso de TI 

C 

C 

c 

A 


c 

c 

c 

R 

C 

c 

Identificar duenos de sistemas 


C 

c 

A 

C 

R 

1 

1 

1 

1 

1 

Identificar duenos de datos 


1 

A 

C 

C 

1 

R 

1 

1 

1 

c 

Establecer e implantar roles y responsabilidades de TI, incluida la supervision y 
segregacion de funciones 


1 

1 

A 

1 

c 

C 

c 

R 

c 

c 


Una matriz RACI identifica quien es Responsable, quien debe rendircuentas (A), quien debe serConsultadoy/o Informado 


Metas y Metricas 


’ Responder a los requerimientos de 
gobierno de acuerdo con las 
alineamientos del consejo directivo 
' Responder a los requerimientos de 
negocio de acuerdo con la estrategia del 
negocio 

’ Crear la agilidad de TI 


Procesos 


Establecer estructuras y relaciones 
organizacionales para TI, que sean 
flexibles y capaces de responder 
Definir Duenos, roles y responsabilidades 
de forma Clara para todos los procesos TI 
y para todas las relaciones con los 
interesados 


Mide 


■sfo 


Actividades 


Definir un marco de trabajo de procesos 
para TI 

Establecer organismos y estructuras 
organizacionales apropiadas 


Mide 


S&? 


* Satisfaccion de interesados (encuestas) 

* # de iniciativas de negocio retrasadas 
debido a la inercia operativa de TI o a la 
falta de disponibilidad de las capacidades 
necesarias 

* # de procesos de negocio que no reciben 
soporte por parte de TI que lo deberfan 
recibir de acuerdo a la estrategia 

* # de actividades esenciales de TI fuera do 
TI, que no estan aprobadas o que no 
estan sujetas a los estandares de TI 


# de responsabilidades conflictivas en 
vista de la segregacion de funciones 
• # de escalamientos o problemas sin 
resolver debido a la carencia o 
insuficiencia de asignaciones de 
responsabilidad 

% de interesados satisfechos con el nivel 
de respuesta de TI 


Mide 


% de roles con puestos documentados y 

descripciones de autoridad 

% de funciones / procesos operativos de 

TI que se conectan con las estructuras 

operativas del negocio 

Frecuencia de reuniones de los comites 

estrategicos y de direccion 
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Modelo de Madurez 

P04. Definir los Procesos, Organizacion y Relaciones de Tl. 

La administracion del proceso de Definir los procesos, organizacion y relaciones de Tl que satisfaga el requerimiento de negocio de Tl 
de agilizar la respuesta a la estrategia del negocio mientras se cumplen los requerimientos de gobierno y se establecen puntos de 
contacto definidos y competentes es: 

0 No Existente cuando 

La organizacion de Tl no esta establecida de forma efectiva para enfocarse en el logro de los objetivos del negocio. 

1 Inicial / Ad Hoc cuando 

Las actividades y funciones de Tl son reactivas y se implantan de forma inconsistente. Tl se involucra en los proyectos solamente en 
las etapas finales. La funcion de Tl se considera como una funcion de soporte, sin una perspectiva organizacional general. Existe un 
entendimiento explicito de la necesidad de una organizacion de Tl; sin embargo, los roles y las responsabilidades no estan 
formalizados ni reforzados. 

2 Repetible pero Intuitivo cuando 

La funcion de Tl esta organizada para responder de forma tactica aunque de forma inconsistente, a las necesidades de los clientes y 
a las relaciones con los proveedores. La necesidad de contar con una organizacion estructurada y una administracion de proveedores 
se comunica, pero las decisiones todavia dependen del conocimiento y habilidades de individuos clave. Surgen tecnicas comunes 
para administrar la organizacion de Tl y las relaciones con los proveedores. 

3 Definido cuando 

Existen roles y responsabilidades definidos para la organizacion de Tl y para terceros. La organizacion de Tl se desarrolla, documenta, 
comunica y se alinea con la estrategia de Tl. Se define el ambiente de control interno. Se formulan las relaciones con terceros, 
incluyendo los comites de direccion, auditorfa interna y administracion de proveedores. La organizacion de Tl esta funcionalmente 
completa. Existen definiciones de las funciones a ser realizadas por parte del personal de Tl y las que deben realizar los usuarios. Los 
requerimientos esenciales de personal de Tl y experiencia estan definidos y satisfechos. Existe una definicion formal de las relaciones 
con los usuarios y con terceros. La division de roles y responsabilidades esta definida e implantada. 

4 Administrado y Medible cuando 

La organizacion de Tl responde de forma proactiva al cambio e incluye todos los roles necesarios para satisfacer los requerimientos 
del negocio. La administracion, la propiedad de procesos, la delegacion y la responsabilidad de Tl estan definidas y balanceadas. Se 
han aplicado buenas practicas internas en la organizacion de las funciones de Tl. La gerencia de Tl cuenta con la experiencia y 
habilidades apropiadas para definir, implementar y monitorear la organizacion deseada y las relaciones. Las metricas medibles para 
dar soporte a los objetivos del negocio y los factores criticos de exito definidos por el usuario siguen un estandar. Existen inventarios 
de habilidades para apoyar al personal de los proyectos y el desarrollo profesional. El equilibrio entre las habilidades y los recursos 
disponibles internamente, y los que se requieren de organizaciones externas estan definidos y reforzados. La estructura 
organizacional de Tl refleja de manera apropiada las necesidades del negocio proporcionando servicios alineados con los procesos 
estrategicos del negocio, en lugar de estar alineados con tecnologfas aisladas. 

5 Optimizado cuando 

La estructura organizacional de Tl es flexible y adaptable. Se ponen en funcionamiento las mejores practicas de ia industria. Existe un 
uso amplio de la tecnologfa para monitorear el desempeho de la organizacion y de los procesos de Tl. La tecnologfa se aprovecha 
para apoyar la complejidad y distribucion geografica de la organizacion. Un proceso de mejora continua existe y esta implantado. 
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Descripcion DEL Proceso. 

P05. Administrar la Inversion en Tl. 

Establecer y mantener un marco de trabajo para administrar los programas de inversion en Tl que abarquen costos, beneficios, 
prioridades dentro del presupuesto, un proceso presupuestal formal y administracion contra ese presupuesto. Los interesados 
(stakeholders) son consultados para identificar y controlar los costos y beneficios totales dentro del contexto de los planes 
estrategicos y tacticos de Tl, y tomar medidas correctivas segun sean necesarias. El proceso fomenta la asociacion entre Tl y los 
interesados del negocio, facilita el uso efectivo y eficiente de recursos de Tl, y brinda transparencia y responsabilidad dentro del costo 
total de la propiedad, la materializacion de los beneficios del negocio y el retorno sobre las inversiones en Tl. 


Control sobre el proceso Tl de 

Administrar la Inversion en Tl 

Que satisface el requerimiento del negocio de Tl para 

Mejorar de forma continua y demostrable la rentabilidad de Tl y su contribucion a la rentabilidad del negocio con servicios 
integrados y estandarizados que satisfagan las expectativas del usuario. 

Enfocandose en 

Decisiones de portafolio e inversion en Tl efectivas y eficientes, y el establecimiento y seguimiento de presupuestos 
de Tl de acuerdo a la estrategia de Tl y a las decisiones de inversion. 

Se logra con 

• El pronostico y la asignacion de presupuestos 

• La definicion de criterios formales de inversion (retorno de inversion -ROI, periodo de reintegro, valor 
presente neto -NPV) 

• La medicion y evaluacion del valor del negocio en comparacion con el pronostico 

Y se mide con 

• El porcentaje de reduccion en el costo unitario del servicio de Tl 

• Porcentaje del valor de la desviacion respecto al presupuesto en comparacion con el 
presupuesto total 

• Porcentaje de gasto de Tl expresado en impulsores de valor del negocio (Ej. Incremento en 
ventas / servicios debidos a la mejora en conectividad 


Planeary 

Organizar 

Adquirir e 
Implementar 

Entregar y Dar 
Soporte 

Monitoreary 

Evaluar 




© 2007 IT Governance Institute. All rights reserved, www.itgi.org 


47 







C Planear y Organizar 

A J Administrar la Inversion en Tl 


Objetivos de Control 

P05. Administrar la Inversion en Tl. 

P05.1 Marco de Trabajo para la Administracion Financiera 

Establecer y mantener un marco de trabajo financiero para administrar las inversiones y el costo de los activos y servicios de Tl a 
traves del portafolios de inversiones habilitadas por Tl, casos de negocio y presupuestos de Tl. 

P05.2 Prioridades Dentro del Presupuesto de Tl 

Implementar un proceso de toma de decisiones para dar prioridades a la asignacion de recursos a Tl para operaciones, proyectos y 
mantenimiento, para maximizar la contribucion de Tl a optimizar el retorno del portafolio empresarial de programas de inversion en Tl 
y otros servicios y activos de Tl 

P05.3 Proceso Presupuestal 

Establecer un proceso para elaborar y administrar un presupuesto que refleje las prioridades establecidas en el portafolio empresarial 
de programas de inversion en Tl, incluyendo los costos recurrentes de operary mantener la infraestructura actual. El proceso debe 
dar soporte al desarrollo de un presupuesto general de Tl asf como al desarrollo de presupuestos para programas individuales, con 
entasis especial en los componentes de Tl de esos programas. El proceso debe permitir la revision, el refinamiento y la aprobacion 
constantes del presupuesto general y de los presupuestos de programas individuales 

P05.4 Administracion de Costos de Tl 

Implementar un proceso de administracion de costos que compare los costos reales con los presupuestados. Los costos se deben 
monitorear y reportar. Cuando existan desviaciones, estas se deben identificar de forma oportuna y el impacto de esas desviaciones 
sobre los programas se debe evaluar y, junto con el patrocinador del negocio para estos programas, se deberan tomar las medidas 
correctivas apropiadas y, en caso de ser necesario, el caso de negocio del programa de inversion se debera actualizar. 

P05.5 Administracion de Beneficios 

Implementar un proceso de monitoreo de beneficios. La contribucion esperada de Tl a los resultados del negocio, ya sea como un 
componente de programas de inversion en Tl o como parte de un soporte operativo regular, se debe identificar, acordar, monitorear y 
reportar. Los reportes se deben revisar y, donde existan oportunidades para mejorar la contribucion de Tl, se deben definir y tomar las 
medidas apropiadas. Siempre que los cambios en la contribucion de Tl tengan impacto en el programa, o cuando los cambios a otros 
proyectos relacionados impacten al programa, el caso de negocio debera ser actualizado. 
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Directrices Gerenciales 

P05. Administrar la Inversion en Tl. 


Salidas 

Hacia 


Reportes de costo / 
beneficio 

P01 

AI2 

DS6 

ME1 

ME4 



Presupuestos de Tl 

DS6 







Portafolio actualizado de 
servicios de Tl 

DS1 







Portafolio actualizado de 
proyectos de Tl 

P010 








Desde 

Entradas 

P01 

Planes estrategicos y tacticos de Tl, portafolios de 
proyectos y servicios 

P03 

Requerimientos de infraestructura 

P010 

Portafolio de proyectos de Tl actualizado 

All 

Informacion sobre el desempeno y la capacidad 

AI7 

Revisiones post-implantacion 

DS3 

Plan de desempeno y de capacidad (requerimientos) 

DS6 

Finanzas de Tl 

ME4 

Resultados esperados de las inversiones en el 
negocio habilitadas porTI 



Metas y Metricas 


| • Mejorar la rentabilidad de Tl y su 
contribucion a las utilidades de la 
empresa. 

* Asegurarse de la transparencia y del 
entendimiento de los costos, beneficios, 
estrategias, polfticas y niveles de 
servicios de Tl 

' Asegurarse de que Tl demuestre una 
calidad de servicio rentable, mejora 
continua y disposicion para cambios 
futuros 


Mide 


Procesos 


Facilitar la toma de decisiones de 
inversion y portafolio de Tl 
Establecer y hacer seguimiento al 
presupuesto de Tl de acuerdo a la 
estrategia de Tl y a las decisiones de 
inversion en Tl 

Optimizar costos de Tl y maximizar los 
beneficios de Tl 


% 


' % de inversiones en Tl que exceden o 
satisfacen los beneficios predefinidos 
para el negocio 

' % de impulsores de valor de Tl con 
equivalencia en los impulsores de valor 
del negocio 

' % de gasto de Tl expresado en impulsores 
de valor del negocio (Ej. incremento en 
ventas debido a una mejor conectividad). 


Actividades 


Definir criterios formales de inversion 
(ROI, periodo de reintegro, NPV) 

• Pronostico y asignacion de presupuestos 

• Medicion y evaluacion del valor para el 
negocio en comparacion con el 
pronostico 


Mide 




• # de desviaciones respecto al 
presupuesto 

% de valor de desviacion del presupuesto 
en comparacion con el presupuesto total 
% de reduccion del costo unitario de los 
servicios de Tl prestados 
% de inversiones en Tl que genera n los 
beneficios predefinidos 


Mide 


% de proyectos con beneficios definidos 
por adelantado 

% de servicios costeados de Tl 
% de proyectos con revision post-proyecto 
• Frecuencia de reporte de beneficios 
% de proyectos donde la informacion de 
desempeno (desempeno de costos, 
desempefio de cronogramas y perfil de 
riesgos) se encuentre disponible 
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Modelo de Madurez 

P05. Administrar la Inversion en Tl. 

La administracion del proceso de Administrar ia inversion en Tl que satisfaga el requerimiento de negocio de Tl de mejorar de forma 
constante y demostrable la rentabilidad de Tl y su contribucion a la utilidad del negocio con servicios integrados y estandar que 
satisfagan las expectativas del usuario final es: 

0 No Existente cuando 

No existe conciencia de la importancia de la seleccion y presupuesto de las inversiones en Tl. No existe seguimiento o monitoreo de 
las inversiones y gastos de Tl. 

1 Inicial / Ad Hoc cuando 

La organizacion reconoce la necesidad de administrar la inversion en Tl, aunque esta necesidad se comunica de manera 
inconsistente. La asignacion de responsabilidades de seleccion de inversiones en Tl y de desarrollo de presupuestos se hace de una 
forma ad hoc. Existen implantaciones aisladas de seleccion y presupuesto de inversiones en Tl, con documentacion informal. Las 
inversiones en Tl se justifican de una forma ad hoc. Se toman decisiones presupuestales enfocadas de modo reactivo y operativo. 

2 Repetible pero Intuitivo cuando 

Existe un entendimiento implicito de la necesidad de seleccionary presupuestar las inversiones en Tl. La necesidad de un proceso de 
seleccion y presupuesto se comunica. El cumplimiento depende de la iniciativa de individuos dentro de la organizacion. Surgen 
tecnicas comunes para desarrollar componentes del presupuesto de Tl. Se toman decisiones presupuestales reactivas y tacticas. 

3 Definido cuando 

Las polfticas y los procesos para inversiones y presupuestos estan definidas, documentadas y comunicadas y cubren temas clave de 
negocio y de tecnologfa. El presupuesto de Tl esta alineado con los planes estrategicos de Tl y con los planes del negocio. Los 
procesos de seleccion de inversiones en Tl y de presupuestos estan formalizados, documentados y comunicados. Surge el 
entrenamiento formal aunque todavfa se basa de modo principal en iniciativas individuales. Ocurre la aprobacion formal de la 
seleccion de inversiones en Tl y presupuestos. El personal de Tl cuenta con la experiencia y habilidades necesarias para desarrollar el 
presupuesto de Tl y recomendar inversiones apropiadas en Tl. 

4 Administrado y Medible cuando 

La responsabilidad y la rendicion de cuentas por la seleccion y presupuestos de inversiones se asignan a un individuo especffico. Las 
diferencias en el presupuesto se identifican y se resuelven. Se realizan analisis formales de costos que cubren los costos directos e 
indirectos de las operaciones existentes, asf como propuestas de inversiones, considerando todos los costos a lo largo del ciclo 
completo de vida. Se usa un proceso de presupuestos proactivo y estandar. El impacto en los costos operativos y de desarrollo 
debidos a cambios en hardware y software, hasta cambios en integracion de sistemas y recursos humanos de Tl, se reconoce en los 
planes de inversion. Los beneficios y los retornos se calculan en terminos financieros y no financieros. 

5 Optimizado cuando 

Se utilizan las buenas practicas de la industria para evaluar los costos por comparacion (benchmark) e identificar la efectividad de las 
inversiones. Se utiliza el analisis de los avances tecnologicos en el proceso de seleccion y presupuesto de inversiones. El proceso de 
administracion de inversiones se mejora de forma continua con base en las lecciones aprendidas provenientes del analisis del 
desempeho real de las inversiones. Las decisiones de inversiones incluyen las tendencias de mejora de precio/desempeho. Se 
investigan y evaluan formalmente las alternativas de financiamiento dentro del contexto de la estructura de capital existente en la 
organizacion, mediante el uso de metodos formales de evaluacion. Existe la identificacion proactiva de varianzas. Se incluye un 
analisis de los costos y beneficios a largo plazo del ciclo de vida total en la toma de decisiones de inversion. 
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Planeary Organizar 

Comunicar las Aspiraciones y la Direccion de la Gerencia -M- vF 


Descripcion DEL Proceso. 


P06. Comunicar las Aspiraciones y la Direccion de la Gerencia. 

La direccion debe elaborar un marco de trabajo de control empresarial para Tl, y definir y comunicar las polfticas. Un programa de 
comunicacion continua se debe implementar para articular la mision, los objetivos de servicio, las polfticas y procedimientos, etc., 
aprobados y apoyados por la direccion. La comunicacion apoya el logro de los objetivos de Tl y asegura la concienciacion y el 
entendimiento de los riesgos de negocio y de Tl. El proceso debe garantizar el cumplimiento de las leyes y reglamentos relevantes. 



Comunicar las aspiraciones y la direccion de la gerencia 


Planeary 

Organizar 


Adquirir e 
Implementar 

1 

Entregar y Dar 
Soporte 


Monitorear y 

Evaluar 



Que satisface el requerimiento del negocio de Tl para 


Una informacion precisa y oportuna sobre los servicios de Tl actuales y futuros, los riesgos asociados y las responsabilidades 


Enfocandose en 


Proporcionar polfticas, procedimientos, directrices y otra documentacion aprobada, de forma precisa y entendible y 
que se encuentre dentro del marco de trabajo de control de Tl a los interesados 

Se logra con 

• La definicion de un marco de trabajo de control para Tl 

• La elaboracion e implantacion de polfticas para Tl 

• El refuerzo de polfticas de Tl 

Y se mide con 


• El numero de interrupciones en el negocio debidas a interrupciones en el servicio de Tl 

• Porcentaje de interesados que entienden el marco de trabajo de control de Tl de la empresa 

• Porcentaje de interesados que no cumple las polfticas 
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Planear y Organizar 

A Comunicar las Aspiraciones y la Direccion de la Gerencia 


Objetivos de Control 

P06. Comunicar las Aspiraciones y la Direccion de la Gerencia. 

P06.1 Ambiente de Polfticas y de Control 

Definir los elementos de un ambiente de control para Tl, alineados con la filosoffa administrativa y el estilo operativo de la empresa. 
Estos elementos incluyen las expectativas / requerimientos respecto a la entrega de valor proveniente de las inversiones en Tl, el 
apetito de riesgo, la integridad, los valores eticos, la competencia del personal, la rendicion de cuentas y la responsabilidad. El 
ambiente de control se basa en una cultura que apoya la entrega de valor, mientras administra riesgos significativos, fomenta la 
colaboracion entre divisiones y el trabajo en equipo, promueve el cumplimiento y la mejora continua de procesos, y maneja las 
desviaciones (incluyendo las fallas) de forma adecuada. 

P06.2 Riesgo Corporativo y Marco de Referencia de Control Interno de Tl 

Elaborar y dar mantenimiento a un marco de trabajo que establezca el enfoque empresarial general hacia los riesgos y el control que 
se alinee con la polftica de Tl, el ambiente de control y el marco de trabajo de riesgo y control de la empresa. 

P06.3 Administracion de Polfticas para Tl 

Elaborar y dar mantenimiento a un conjunto de polfticas que apoyen la estrategia de Tl. Estas polfticas deben incluir su intencion, 
roles y responsabilidades, procesos de excepcion, enfoque de cumplimiento y referencias a procedimientos, estandares y directrices. 
Su relevancia se debe confirmar y aprobar en forma regular. 

P06.4 Implantacion de Polfticas de Tl 

Asegurarse de que las polfticas de Tl se implantan y se comunican a todo el personal relevante, y se refuerzan, de tal forma que esten 
incluidas y sean parte integral de las operaciones empresariales. 

P06.5 Comunicacion de los Objetivos y la Direccion de Tl 

Asegurarse de que la conciencia y el entendimiento de los objetivos y la direccion del negocio y de Tl se comunican a los interesados 
apropiados y a los usuarios de toda la organizacion. 
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Planeary Organizar 

Comunicar las Aspiraciones y la Direccion de la Gerencia -M- vF 


Directrices Gerenciales 

P06. Comunicar las Aspiraciones y la Direccion de la Gerencia. 


Salidas 

Hacia 

Marco de control 
empresarial para Tl 

TODAS 







Polfticas para Tl 

TODAS 








Desde 

Entradas 

POl 

Planes estrategicos y tacticos de Tl, portafolios de 
proyectos y servicios 

P09 

Directrices de administracion de riesgos relativos a 

Tl 

ME2 

Reportes sobre la efectividad de los controles de Tl 



Una matrlz RACl identifies quien es Responsable, quien debe rendir cuentas (A), quien debe ser Consultado y/o Informado 


Metas y Metricas 


* Asegurarse de la transparencia y el 
entendimiento de los costos, beneficios, 
estrategia, polfticas y niveles de servicio de Tl. 

' Asegurarse de que se puede confiar en las 
transacciones automatizadas y en los 
intercambios de informacion del negocio 

* Asegurarse de que la informacion crftica y 
confidencial no este disponible a quienes no 
deben verla 

* Asegurar un impacto mfnimo en el evento de 
una interrupcion o cambio del servicio de Tl 

* Asegurar el uso y desempefio adecuados de 
las aplicaciones y de las soluciones 
tecnologicas 

* Garantizar que los servicios e infraestructura 
de Tl pueden resistir y recuperarse de fallas 
debidas a errores, ataques o desastres. 


Mide 


| • # de ocasiones en que se puso en riesgo la 
informacion confidencial 

* # de interrupciones al negocio debidas a 
interrupciones en el servicio de Tl. 

* Nivel de entendimiento de los costos, 
beneficios, estrategia, polfticas y niveles de 
servicio de Tl 


cc 




Procesos 


Elaborar un marco de control para Tl, que sea 
comun e integral 

Elaborar un conjunto de polfticas de Tl que sea 
comun e integral 
Comunicar la estrategia, polfticas y el marco de 
control de Tl 




Mide 


1 % de interesados que entienden las polfticas 
de Tl 

1 % de interesados que entienden el marco de 
control de Tl 

1 % de interesados que no cumplen las polfticas 


ns 


Actividades 


’ Definir un marco de control para Tl 
’ Elaborar e implementar polfticas de Tl 
’ Reforzar las polfticas de Tl 




Mide 


* Frecuencia de revisiones/ actualizaciones de 
las polfticas 

' Tiempo entre la aprobacion de las polfticas y \c 
comunicacion a los usuarios. 
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Planear y Organizar 

A Comunicar las Aspiraciones y la Direccion de la Gerencia 


Modelo de Madurez 

P06. Comunicar las Aspiraciones y la Direccion de la Gerencia. 

La administracion del proceso de Comunicar las aspiraciones y la direccion de la gerencia que satisfaga el requerimiento de negocio 
de Tl de informacion precisa y oportuna sobre /os servicios actuates de Tl, riesgos asociados y responsabilidades es: 

0 No Existente cuando 

La gerencia no ha establecido un ambiente positivo de control de informacion. No hay reconocimiento de la necesidad de establecer 
un conjunto de polfticas, procedimientos, estandares y procesos de cumplimiento. 

1 Inicial / Ad Hoc cuando 

La gerencia es reactiva al resolver los requerimientos del ambiente de control de informacion. Las polfticas, procedimientos y 
estandares se elaboran y comunican de forma ad hoc de acuerdo a los temas. Los procesos de elaboracion, comunicacion y 
cumplimiento son informales e inconsistentes. 

2 Repetible pero Intuitivo cuando 

La gerencia tiene un entendimiento implfcito de las necesidades y de los requerimientos de un ambiente de control de informacion 
efectivo, aunque las practicas son en su mayorfa informales. La gerencia ha comunicado la necesidad de polfticas, procedimientos y 
estandares de control, pero la elaboracion se delega a la discrecion de gerentes y areas de negocio individuales. La calidad se 
reconoce como una filosoffa deseable a seguir, pero las practicas se dejan a discrecion de gerentes individuales. El entrenamiento se 
realiza de forma individual, segun se requiera. 

3 Definido cuando 

La gerencia ha elaborado, documentado y comunicado un ambiente completo de administracion de calidad y control de ia 
informacion, que incluye un marco para las polfticas, procedimientos y estandares. El proceso de elaboracion de polfticas es 
estructurado, mantenido y conocido por el personal, y las polfticas, procedimientos y estandares existentes son razonablemente 
solidos y cubren temas clave. La gerencia ha reconocido la importancia de ia conciencia de la seguridad de Tl y ha iniciado programas 
de concienciacion. El entrenamiento formal esta disponible para apoyar al ambiente de control de informacion, aunque no se aplica 
de forma rigurosa. Aunque existe un marco general de desarrollo para las polfticas y estandares de control, el monitoreo del 
cumplimiento de estas polfticas y estandares es inconsistente. Las tecnicas para fomentar la conciencia de la seguridad estan 
estandarizadas y formalizadas. 

4 Administrado y Medible cuando 

La gerencia asume la responsabilidad de comunicar las polfticas de control interno y delega la responsabilidad y asigna suficientes 
recursos para mantener el ambiente en Ifnea con los cambios significativos. Se ha establecido un ambiente de control de informacion 
positivo y proactivo. Se ha establecido un juego completo de polfticas, procedimientos y estandares, los cuales se mantienen y 
comunican, y forman un componente de buenas practicas internas. Se ha establecido un marco de trabajo para la implantacion y las 
verificaciones subsiguientes de cumplimiento. 

5 Optimizado cuando 

El ambiente de control de la informacion esta alineado con el marco administrativo estrategico y con la vision, y con frecuencia se 
revisa, actuaiiza y mejora. Se asignan expertos internos y externos para garantizar que se adoptan las mejores practicas de la 
industria, con respecto a las gufas de control y a las tecnicas de comunicacion. El monitoreo, la auto-evaluacion y las verificaciones de 
cumplimiento estan extendidas en la organizacion. La tecnologfa se usa para mantener bases de conocimiento de polfticas y de 
concienciacion y para optimizar la comunicacion, usando herramientas de automatizacion de oficina y de entrenamiento basado en 
computadora. 
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Planeary Organizar 13 

Administrar Recursos Humanos de Tl -M- » 


Descripcion DEL Proceso. 

P07. Administrar los Recursos Humanos de Tl. 

Adquirir, mantener y motivar una fuerza de trabajo para la creacion y entrega de servicios de Tl para el negocio. Esto se logra 
siguiendo practicas definidas y aprobadas que apoyan el reclutamiento, entrenamiento, la evaluacion del desempeno, la promocion y 
la terminacion. Este proceso es crftico, ya que las personas son activos importantes, y el ambiente de gobierno y de control interno 
depende fuertemente de la motivacion y competencia del personal. 




Administrar los recursos humanos de Tl 


Que satisface el requerimiento del negocio de Tl para 

Adquirir gente competente y motivada para crear y entregar servicios de Tl 

Enfocandose en 

La contratacion y entrenamiento del personal, la motivacion por medio de planes de carrera claros, la asignacion 
de roles que correspondan a las habilidades, el establecimiento de procesos de revision definidos, la creacion de 
descripcion de puestos y el aseguramiento de la conciencia de la dependencia sobre los individuos 

Se logra con 

• La revision del desempeno del personal 

• La contratacion y entrenamiento de personal de Tl para apoyar los planes tacticos de Tl 

• La mitigacion del riesgo de sobre-dependencia de recursos clave 

Y se mide con 

• El nivel de satisfaccion de los interesados respecto a la experiencia y habilidades del personal 

• La rotacion de personal de Tl 

• Porcentaje de personal de Tl certificado de acuerdo a las necesidades del negocio 



| Primario Secundario 
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P07 


Planear y Organizar 

Administrar Recursos Humanos de Tl 


Objetivos de Control 

P07. Administrar los Recursos Humanos de Tl. 

P07.1 Reclutamiento y Retencion del Personal 

Asegurarse que los procesos de reclutamiento del personal de Tl esten de acuerdo a las polfticas y procedimientos generales de 
personal de la organizacion (Ej. contratacion, un ambiente positivo de trabajo y orientacion). La gerencia implementa procesos para 
garantizar que la organizacion cuente con una fuerza de trabajo posicionada de forma apropiada, que tenga las habilidades 
necesarias para alcanzar las metas organizacionales. 

P07.2 Competencias del Personal 

Verificar de forma periodica que el personal tenga las habilidades para cumplir sus roles con base en su educacion, entrenamiento 
y/o experiencia. Definir los requerimientos esenciales de habilidades para Tl y verificar que se les de mantenimiento, usando 
programas de calificacion y certificacion segun sea el caso. 

P07.3 Asignacion de Roles 

Definir, monitorear y supervisar los marcos de trabajo para los roles, responsabilidades y compensacion del personal, incluyendo el 
requerimiento de adherirse a las polfticas y procedimientos administrativos, asf como al codigo de etica y practicas profesionales. El 
nivel de supervision debe estar de acuerdo con la sensibilidad del puesto y el grado de responsabilidades asignadas. 

P07.4 Entrenamiento del Personal de Tl 

Proporcionar a los empleados de Tl la orientacion necesaria al momento de la contratacion y entrenamiento continuo para conservar 
su conocimiento, aptitudes, habilidades, controles internos y conciencia sobre la seguridad, al nivel requerido para alcanzar las metas 
organizacionales. 

P07.5 Dependencia Sobre los Individuos 

Minimizar la exposicion a dependencias crfticas sobre individuos clave por medio de la captura del conocimiento (documentacion), 
compartir el conocimiento, planeacion de la sucesion y respaldos de personal. 

P07.6 Procedimientos de Investigacion del Personal 

Incluir verificaciones de antecedentes en el proceso de reclutamiento de Tl. El grado y la frecuencia de estas verificaciones dependen 
de que tan delicada 6 crftica sea la funcion y se deben aplicar a los empleados, contratistas y proveedores. 

P07.7 Evaluation del Desempeno del Empleado 

Es necesario que las evaluaciones de desempeno se realicen periodicamente, comparando contra los objetivos individuales derivados 
de las metas organizacionales, estandares establecidos y responsabilidades especfficas del puesto. Los empleados deben recibir 
adiestramiento sobre su desempeno y conducta, segun sea necesario. 

P07.8 Cambios y Termination de Trabajo 

Tomar medidas expeditas respecto a los cambios en los puestos, en especial las terminaciones. Se debe realizar la transferencia del 
conocimiento, reasignar responsabilidades y se deben eliminar los privilegios de acceso, de tal modo que los riesgos se minimicen y 
se garantice la continuidad de la funcion. 
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Planeary Organizar 13 

Administrar Recursos Humanos de Tl -M- » 


Directrices Gerenciales 

P07. Administrar los Recursos Humanos de Tl. 


Salidas 

Hacia 


Politicas y procedimientos 
de recursos humanos de Tl 

P04 







Matriz de habilidades de Tl 

P04 

P010 






Descripciones de puestos 

P04 







Aptitudes y habilidades de 
los usuarios, incluyendo el 
entrenamiento individual 

DS7 







Requerimientos especfficos 
de entrenamiento 

DS7 







Roles y responsabilidades 

TODOS 








Desde 

Entradas 

P04 

Organizacion y relaciones de Tl; roles y 
responsabilidades documentados 

All 

Estudio de factibilidad de los requerimientos del 
negocio 



Una matriz RACI identifica quien es Responsable, quien debe rendir cuentas (A), quien debe ser Consultado y/o Informado 


Metas y Metricas 


’ Adquirir y mantener habilidades de Tl que 
respondan a la estrategia de Tl 

’ Crear la agilidad de la Tl 


Procesos 


' Elaborar practicas de administracion 
profesionales para RH de Tl 
' Utilizar a todo el personal de Tl de forma 
efectiva mientras que al mismo tiempo se 
minimiza la dependencia de personal 
clave. 


Mide 




Actividades 


• Contratar y entrenar al personal de Tl para 
apoyar los planes tacticos de Tl 

• Mitigar el riesgo de la sobre dependencia 
en individuos clave 

• Revision del desempeno del personal 


Mide 


z'r, 




Mide 



• Nivel de satisfaccion de interesados 


• % de personal de Tl que satisface el perfil 


* % de personal de Tl que hayan completado 


respecto a la experiencia y habilidades del 


de habilidades para los roles requeridos 


sus planes profesionales de desarrollo 


personal 


como se describe en la estrategia 


* % de personal con revisiones de desempeno 


• % de personal de Tl satisfecho (metrica 


• % de roles de Tl ocupados 


oportunas, documentadas y validadas 


compuesta) 


• % de dfas perdidos debido a ausencias no 


* % de puestos con descripciones y 


• Rotacion de personal de Tl 


planeadas 


calificaciones de contratacion 

ra 

u 



• % de personal de Tl que termino el plan de 


* # promedio de dfas de entrenamiento y 

4-> 



entrenamiento anual de Tl 


desarrollo (incluyendo adiestramiento) por 

'Q) 



• Proporcion real de contratos a personal 


persona al ano 




comparado con la proporcion planeada 


* Ratio de rotacion de personal de Tl 




• % de empleados de Tl a los que se han 


* % de personal de Tl certificado de acuerdo a 




verificado sus antecedentes 


las necesidades del puesto 




• % de roles de Tl con personal cualificado de 


* Numero promedio de dfas para ocupar los 




respa Ido 


roles vacantes de Tl 
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P07 


Planear y Organizar 

Administrar Recursos Humanos de Tl 


Modelo DE Madurez 

P07. Administrar los Recursos Humanos de Tl. 

La administracion del proceso de Administrar los recursos humanos de Tl que satisfaga el requerimiento de negocio de Tl de personal 
competente y motivado para creary entregar servicios de Tl es: 

0 No Existente cuando 

No existe conciencia sobre la importancia de alinear la administracion de recursos humanos de Tl con el proceso de planeacion de la 
tecnologfa para la organizacion. No hay persona o grupo formalmente responsable de la administracion de los recursos humanos de 

Ti. 

1 Inicial / Ad Hoc cuando 

La gerencia reconoce la necesidad de contar con administracion de recursos humanos de Tl. El proceso de administracion de 
recursos humanos de Tl es informal y reactivo. El proceso de recursos humanos de Tl esta enfocado de manera operacional en la 
contratacion y administracion del personal de Tl. Se esta desarrollando la conciencia con respecto al impacto que tienen los cambios 
rapidos de negocio y de tecnologfa, y las soluciones cada vez mas complejas, sobre la necesidad de nuevos niveles de habilidades y 
de competencia. 

2 Repetible pero Intuitivo cuando 

Existe un enfoque tactico para contratar y administrar al personal de Tl, dirigido por necesidades especfficas de proyectos, en lugar de 
hacerlo con base en un equilibrio entendido de disponibilidad interna y externa de personal calificado. Se imparte entrenamiento 
informal al personal nuevo, quienes despues reciben entrenamiento segun sea necesario. 

3 Definido cuando 

Existe un proceso definido y documentado para administrar los recursos humanos de Tl. Existe un plan de administracion de recursos 
humanos. Existe un enfoque estrategico para la contratacion y la administracion del personal de Tl. El plan de entrenamiento formal 
esta disehado para satisfacer las necesidades de los recursos humanos de Tl. Esta establecido un programa de rotacion, disehado 
para expandir las habilidades gerenciales y de negocio. 

4 Administrado y Medible cuando 

La responsabilidad de la elaboracion y el mantenimiento de un plan de administracion de recursos humanos para Tl ha sido asignado 
a un individuo o grupo con las habilidades y experiencia necesarias para elaborar y mantener el plan. El proceso para elaborar y 
mantener el plan de administracion de recursos humanos de Tl responde al cambio. La organizacion cuenta con metricas 
estandarizadas que le permiten identificar desviaciones respecto al plan de administracion de recursos humanos de Tl con enfasis 
especial en el manejo del crecimiento y rotacion del personal. Las revisiones de compensacion y de desempeno se estan 
estableciendo y se comparan con otras organizaciones de Tl y con las mejores practicas de la industria. La administracion de recursos 
humanos es proactiva, tomando en cuenta el desarrollo de un plan de carrera. 

5 Optimizado cuando 

El plan de administracion de recursos humanos de Tl se actualiza de forma constante para satisfacer los cambiantes requerimientos 
del negocio. La administracion de recursos humanos de Tl esta integrada y responde a la direccion estrategica de la entidad. Los 
componentes de la administracion de recursos humanos de Tl son consistentes con las mejores practicas de la industria, tales como 
compensacion, revisiones de desempeno, participacion en foros de la industria, transferencia de conocimiento, entrenamiento y 
adiestramiento. Los programas de entrenamiento se desarrollan para todos los nuevos estandares tecnologicos y productos antes de 
su implantacion en la organizacion. 
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Planeary Organizar 

Administrar la Calidad A 


Descripcion DEL Proceso. 


P08. Administrar la Calidad. 

Se debe elaborar y mantener un sistema de administracion de calidad, el cual incluya procesos y estandares probados de desarrollo y 
de adquisicion. Esto se facilita por medio de la planeacion, implantacion y mantenimiento del sistema de administracion de calidad, 
proporcionando requerimientos, procedimientos y politicas Claras de calidad. Los requerimientos de calidad se deben manifestar y 
documentar con indicadores cuantificables y alcanzables. La mejora continua se logra por medio del constante monitoreo, correccion 
de desviaciones y la comunicacion de los resultados a los interesados. La administracion de calidad es esencial para garantizar que Tl 
esta dando valor al negocio, mejora continua y transparencia para los interesados. 


Control sobre el proceso Tl de 

Administrar la calidad 


Planeary 

Organizar 


Adquirir e 
Implementar 

1 

Entregar y Dar 
Soporte 


Monitoreary 

Evaluar 




Que satisface el requerimiento del negocio de Tl para 


La mejora continua y medible de la calidad de los servicios prestados por Tl 

Enfocandose en 


La definicion de un sistema de administracion de calidad (QMS, por sus siglas en ingles), el monitoreo continuo del 
desempeno contra los objetivos predefinidos, y la implantacion de un programa de mejora continua de servicios de 

Tl 


Se logra con 

• La definicion de estandares y practicas de calidad 

• El monitoreo y revision interna y externa del desempeno contra los estandares y practicas de calidad 
definidas 

• La mejorara del QMS de manera continua 

Y se mide con 

• Porcentaje de Interesados (Stakeholders) satisfechos con la calidad (ponderado por 
importancia) 

• Porcentaje de procesos de Tl revisados de manera formal por aseguramiento de calidad de 
modo periodico que satisfaga las metas y objetivos de calidad 

• Porcentaje de procesos que reciben revisiones de aseguramiento de calidad (QA) 
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Planear y Organizar 

A J vJ Administrar la Calidad 


Objetivos de Control 

P08. Administrar la Calidad. 

P08.1 Sistema de Administracion de Calidad 

Establecer y mantener un QMS que proporcione un enfoque estandar, formal y continuo, con respecto a la administracion de la 
calidad, que este alineado con los requerimientos del negocio. El QMS identifica los requerimientos y los criterios de calidad, los 
procesos claves de Tl, y su secuencia e interaccion, asf como las polfticas, criterios y metodos para definir, detectar, corregir y prever 
las no conformidades. El QMS debe definir la estructura organizacional para la administracion de la calidad, cubriendo los roles, las 
tareas y las responsabilidades. Todas las areas clave desarrollan sus planes de calidad de acuerdo a los criterios y polfticas, y 
registran los datos de calidad. Monitorear y medir la efectividad y aceptacion del QMS y mejorarla cuando sea necesario. 

P08.2 Estandares y Practicas de Calidad 

Identificar y mantener estandares, procedimientos y practicas para los procesos clave de Tl para orientar a la organizacion hacia el 
cumplimiento del QMS. Usar las buenas practicas de la industria como referenda al mejorar y adaptar las practicas de calidad de la 
organizacion. 

P08.3 Estandares de Desarrollo y de Adquisicion 

Adoptar y mantener estandares para todo desarrollo y adquisicion que siga el ciclo de vida, hasta el ultimo entregable e incluir la 
aprobacion en puntos clave con base en criterios de aceptacion acordados. Los temas a considerar incluyen estandares de 
codificacion de software, normas de nomenclatura; formatos de archivos, estandares de disefio para esquemas y diccionario de 
datos; estandares para la interfaz de usuario; inter operabilidad; eficiencia de desempeno de sistemas; escalabilidad; estandares 
para desarrollo y pruebas; validacion contra requerimientos; planes de pruebas; y pruebas unitarias, de regresion y de integracion. 

P08.4 Enfoque en el Cliente de Tl 

Enfocar la administracion de calidad en los clientes, determinando sus requerimientos y alineandolos con los estandares y practicas 
de Tl. Definir roles y responsabilidades respecto a la resolucion de conflictos entre el usuario/cliente y la organizacion de Tl. 

P08.5 Mejora Continua 

Mantener y comunicar regularmente un plan global de calidad que promueva la mejora continua. 

P08.6 Medicion, Monitoreo y Revision de la Calidad 

Definir, planear e implementar mediciones para monitorear el cumplimiento continuo del QMS, asf como el valor que el QMS 
proporciona. La medicion, el monitoreo y el registro de la informacion deben ser usados por el dueno del proceso para tomar las 
medidas correctivas y preventivas apropiadas. 
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Planeary Organizar 

Administrar la Calidad A 


Directrices Gerenciales 

P08. Administrar la Calidad. 


Salidas 

Hacia 


Estandares de adquisicion 

All 

AI2 

AI3 

AI5 

DS2 



Estandares de desarrollo 

P010 

All 

AI2 

AI3 

AI7 



Requerimientos de 
estandares y metricas de 
calidad 

TODAS 







Medidas para la mejora de 
la calidad 

P04 

AI6 







Desde 

Entradas 

P01 

Plan estrategico de Tl 

P010 

Planes detallados de proyectos 

ME1 

Planes de acciones correctivas 



Una matriz RACI identifica quien es Responsable, quien debe rendir cuentas (A), quien debe ser Consultado y/o Informado 


Metas y Metricas 


* Garantizar la satisfaction de los usuarios 
finales con oferta de servicios y niveles d 
servicio 

' Reducir defectos y retrabajos en la 
prestacion de servicios y soluciones 

* Entregar proyectos a tiempo y dentro del' 
presupuesto, satisfaciendo estandares d£ 
calidad 


Procesos 


Establecer estandares y cultura de 
calidad para los procesos de Tl 
Establecer una funcion de aseguramiento 
de la calidad para una Tl eficiente y 
efectiva 


Monitorear la efectividad de los procesos' 
y proyectos de Tl 


Mide 


’ % de interesados satisfechos con la 
calidad de Tl (ponderado por importancia) 


Z'r> 




Mide 


1 % de defectos no descubiertos antes de 
entrar en produccion 
1 % de reduccion en el numero de 
incidentes de alta severidad por usuario 
por mes 

1 % de proyectos de Tl revisados y 
autorizados por QA que satisfacen las 
metas y objetivos de calidad 
1 % de procesos de Tl revisados de manera 
formal por QA de manera periodica que 
cumplen las metas y objetivos de calidad 


Actividades 


• Definir estandares y practicas de calidad 

• Monitorear y revisar el desempeno 
interno y externo contra los estandares y 
practicas de calidad definidos 


Z'O 


& 


Mide 


1 % de proyectos que reciben revisiones de 
QA 

1 % de personal de Tl que recibe 
entrenamiento administrative/ 
concientizacion 

1 % de proyectos y procesos de Tl con 
participacion activa en el aseguramiento 
de calidad por parte de los interesados 

1 % de procesos que reciben revisiones de 
QA 

1 % de interesados que participan en 
encuestas de calidad 
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Planear y Organizar 

A J vJ Administrar la Calidad 


Modelo de Madurez 


P08. Administrar la Calidad. 

La administracion del proceso de Administrar la calidad que satisfaga el requerimiento de negocio de Tl de mejora continua y medible 
de la calidad de /os s ervicios prestados por Tl es: 

0 No Existente cuando 

La organization carece de un sistema de un proceso de planeacion de QMS y de una metodologfa de ciclo de vida de desarrollo de 
sistemas (SDLC, por sus siglas en ingles). La alta direccion y el equipo de Tl no reconocen que un programa de calidad es necesario. 
Nunca se revisa la calidad de los proyectos y las operaciones. 

1 Inicial / Ad Hoc cuando 

Existe conciencia por parte de la direccion de la necesidad de un QMS. El QMS es impulsado por individuos cuando este ocurre. La 
direccion realiza juicios informales sobre la calidad. 

2 Repetible pero Intuitivo cuando 

Se establece un programa para definir y monitorear las actividades de QMS dentro de Tl. Las actividades de QMS que ocurren estan 
enfocadas en iniciativas orientadas a procesos y proyectos, no a procesos de toda la organizacion. 

3 Definido cuando 

La direccion ha comunicado un proceso definido de QMS e involucra a Tl y a la gerencia del usuario final. Un programa de educacion y 
entrenamiento esta surgiendo para instruir a todos los niveles de la organizacion sobre el tema de la calidad. Se han definido 
expectativas basicas de calidad y estas se comparten dentro de los proyectos y la organizacion de Tl. Estan surgiendo herramientas y 
practicas comunes para administrar la calidad. Las encuestas de satisfaccion de la calidad se planean y ocasionalmente se aplican. 

4 Administrado y Medible cuando 

El QMS esta incluido en todos los procesos, incluyendo aquellos que dependen de terceros. Se esta estableciendo una base de 
conocimiento estandarizada para las metricas de calidad. Se usan metodos de analisis de costo/beneficio para justificar las 
iniciativas de QMS, Surge el uso de benchmarking contra la industria y con los competidores. Se ha institucionalizado un programa de 
educacion y entrenamiento para educar a todos los niveles de la organizacion en el tema de la calidad. Se estan estandarizando 
herramientas y practicas y el analisis de causas rafz se aplica de forma periodica. Se conducen encuestas de satisfaccion de calidad 
de manera consistente. Existe un programa bien estructurado y estandarizado para medir la calidad. La gerencia de Tl esta 
construyendo una base de conocimiento para las metricas de calidad. 

5 Optimizado cuando 

El QMS esta integrado y se aplica a todas las actividades de Tl. Los procesos de QMS son flexibles y adaptables a los cambios en el 
ambiente de Tl. Se mejora la base de conocimientos para metricas de calidad con las mejores practicas externas. Se realiza 
benchmarking contra estandares externos rutinariamente. Las encuestas de satisfaccion de la calidad constituyen un proceso 
constante y conducen al analisis de causas rafz y a medidas de mejora. Existe aseguramiento formal sobre el nivel de los procesos de 
administracion de la calidad. 
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Planeary Organizar 

Evaluar y Administrar los Riesgos de Tl -M- S 


Descripcion DEL Proceso. 

P09. Evaluar y Administrar los Riesgos de Tl. 

Crear y dar mantenimiento a un marco de trabajo de administracion de riesgos. El marco de trabajo documenta un nivel comun y 
acordado de riesgos de Tl, estrategias de mitigacion y riesgos residuales. Cualquier impacto potencial sobre las metas de la 
organizacion, causado por algun evento no planeado se debe identificar, analizar y evaluar. Se deben adoptar estrategias de 
mitigacion de riesgos para minimizar los riesgos residuales a un nivel aceptable. El resultado de la evaluacion debe ser entendible 
para los Interesados (Stakeholders) y se debe expresar en terminos financieros, para permitirles alinear los riesgos a un nivel 
aceptable de tolerancia. 




Evaluar y administrar ios riesgos de Tl 

Que satisface el requerimiento del negocio de Tl para 

Analizar y comunicar los riesgos de Tl y su impacto potencial sobre los procesos y metas de negocio 

Enfocandose en 

La elaboracion de un marco de trabajo de administracion de riesgos el cual esta integrado en los marcos 
gerenciales de riesgo operacional, evaluacion de riesgos, mitigacion del riesgo y comunicacion de riesgos 
residuales 

Se logra con 

• La garantfa de que la administracion de riesgos esta incluida completamente en los procesos 
administrativos, tanto interna como externamente, y se aplica de forma consistente 

• La realizacion de evaluaciones de riesgo 

• La recomendacion y comunicacion de planes de accion para remediar riesgos 

Y se mide con 

• Porcentaje de objetivos crfticos de Tl cubiertos por la evaluacion de riesgos 

• Porcentaje de riesgos crfticos de Tl identificados con planes de accion elaborados 

• Porcentaje de planes de accion de administracion de riesgos aprobados para su implantacion 
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Planear y Organizar 

Evaluar y Administrar los Riesgos de ' 


Objetivos de Control 

P09. Evaluar y Administrar los Riesgos de Tl. 

P09.1 Marco de Trabajo de Administracion de Riesgos 

Establecer un marco de trabajo de administracion de riesgos de Tl que este alineado al marco de trabajo de administracion de riesgos 
de la organizacion. 

P09.2 Establecimiento del Contexto del Riesgo 

Establecer el contexto en el cual el marco de trabajo de evaluacion de riesgos se aplica para garantizar resultados apropiados. Esto 
incluye la determinacion del contexto interno y externo de cada evaluacion de riesgos, la meta de la evaluacion y los criterios contra 
los cuales se evaluan los riesgos. 

P09.3 Identificacion de Eventos 

Identificar eventos (una amenaza importante y realista que explota una vulnerabilidad aplicable y significativa) con un impacto 
potencial negativo sobre las metas o las operaciones de la empresa, incluyendo aspectos de negocio, regulatorios, legales, 
tecnologicos, de sociedad comercial, de recursos humanos y operativos. Determinar la naturaleza del impacto y mantener esta 
informacion. Registrar y mantener los riesgos relevantes en un registro de riesgos. 

P09.4 Evaluacion de Riesgos de Tl 

Evaluar de forma recurrente la probabilidad e impacto de todos los riesgos identificados, usando metodos cualitativos y cuantitativos. 
La probabilidad e impacto asociados a los riesgos inherentes y residuales se debe determinar de forma individual, por categorfa y con 
base en el portafolio. 

P09.5 Respuesta a los Riesgos 

Desarrollar y mantener un proceso de respuesta a riesgos disenado para asegurar que controles efectivos en costo mitigan la 
exposicion en forma continua. El proceso de respuesta a riesgos debe identificar estrategias tales como evitar, reducir, compartir o 
aceptar riesgos; determinar responsabilidades y considerar los niveles de tolerancia a riesgos. 

P09.6 Mantenimiento y Monitoreo de un Plan de Accion de Riesgos 

Priorizar y planear las actividades de control a todos los niveles para implementar las respuestas a los riesgos, identificadas como 
necesarias, incluyendo la identificacion de costos, beneficios y la responsabilidad de la ejecucion. Obtener la aprobacion para las 
acciones recomendadas y la aceptacion de cualquier riesgo residual, y asegurarse de que las acciones comprometidas estan a cargo 
del duefio (s) de los procesos afectados. Monitorear la ejecucion de los planes y reportar cualquier desviacion a la alta direccion. 
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Planeary Organizar 

Evaluar y Administrar los Riesgos de Tl -M- S 


Directrices Gerenciales 

P09. Evaluar y Administrar los Riesgos de Tl. 


Desde 

Entradas 

POl 

Planes estrategicos y tacticos de Tl, portafolio de 
servicios de Tl 

P010 

Plan de administracion de riesgos de proyectos 

DS2 

Riesgos de proveedores 

DS4 

Resultados de pruebas de contingencia 

DS5 

Amenazas y vulnerabilidades de seguridad 

ME1 

Tendencias y eventos de riesgos historicos 

ME4 

Apetito empresarial de riesgos de Tl 


Salidas 

Hacia 


Evaluacion de riesgos 

POl 

DS4 

DS5 

DS12 

ME4 



Reporte de riesgos 

ME4 







Directrices de 
administracion de riesgos 
relacionados con Tl 

P06 







Planes de acciones 
correctivas para riesgos 
relacionados con Tl 

P04 

AI6 








Determinar la alineacion de la administracion de riesgos (ej: Evaluar riesgo) 

A 

A/R 

C 

C 

A/R 

1 





1 

Entender los objetivos de negocio estrategicos relevantes 


C 

c 

a/r 

C 

C 





1 

Entender los objetivos de los procesos de negocio relevantes 




C 

c 

A/R 





1 

Identifica r los objetivos internos de Tl y establecer el contexto del riesgo 





A/R 


C 

C 

C 


1 

Identificar eventos asociados con objetivos (algunos eventos estan orientados a negocio 
(negocio es A); algunos estan orientados a Tl (Tl es A negocio es C) 

1 



A/C 

A 

R 

R 

R 

R 


C 

Asesorar el riesgo con los eventos 




A/C 

A 

R 

R 

R 

R 


c 

Evaluar y seleccionar respuestas a riesgos 

1 

1 

A 

A/C 

A 

R 

R 

R 

R 


c 

Priorizar y Planear actividades de control 

C 

C 

A 

A 

R 

R 

C 

C 

C 


c 

Aprobar y asegurarfondos para planes de accion de riesgos 


A 

A 


R 

1 

1 

1 

1 


1 

Mantenery Monitorear un plan de accion de riesgos 

A 

C 

1 

R 

R 

C 

C 

C 

C 

C 

R 


Una matriz RACI identifica quien es Responsable, quien debe rendir cuentas (A), quien debe serConsultadoy/o Informado 


Metas y Metricas 


> Proteger el logro de los objetivos de Tl 
' Establecer claridad sobre el impacto en 
el negocio de los riesgos a los objetivos y 
recursos de Tl 

' Responder por y proteger todos activos 
de Tl 


Procesos 


Establecer y reducir la probabilidad y el 
impacto de los riesgos de Tl 
Establecer planes de accion rentables 
para los riesgos crfticos de Tl 


Mide 


z'o 




Actividades 


• Asegurarse de que la administracion de 
riesgos este completamente incluida en 
los procesos administrativos 

• Realizar evaluaciones de riesgo 
periodicas con los gerentes senior y con 
el personal clave 


Mide 


% 


Mide 



• % de objetivos crfticos de Tl cubiertos por 


• % de eventos crfticos de Tl identificados 


• % del presupuesto de Tl gastado en 


la evaluacion de riesgos 


que han sido evaluados 


actividades de administracion de los 


• % de evaluaciones de riesgos de Tl 


• # de riesgos de Tl recientemente 


riesgos (evaluacion y mitigacion) 


integrados en el enfoque de evaluacion 


identificados (comparados con el ejercicic 


• Frecuencia de la revision del proceso de 


de riesgos de Tl 


previo) 


administracion de riesgos de Tl 




• # de incidentes significativos causados 


• % de evaluaciones de riesgo autorizadas 

ra 



por riesgos no identificados por el 


• # de reportes de monitoreo de riesgos 




proceso de evaluacion de riesgos 


activados dentro de la frecuencia 

.01 



• % de riesgos crfticos de Tl identificados 


acordada 




con un plan de accion elaborado 


• % de eventos de Tl identificados usados 
en evaluaciones de riesgo 

• % de planes de accion de administracion 






de riesgos aprobados para su 
implementacion 
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Planear y Organizar 

Evaluar y Administrar los Riesgos de ' 


Modelo DE Madurez 

P09. Evaluar y Administrar los Riesgos de Tl. 

La administracion del proceso de Evaluar y administrar los riesgos de Tl que satisfaga el requerimiento de negocio de Tl de analizary 
comunicar los riesgos deTlysu impacto potencial sobre los procesos y las metas de negocio es: 

0 No Existente cuando 

La evaluacion de riesgos para los procesos y las decisiones de negocio no ocurre. La organizacion no toma en cuenta los impactos en 
el negocio asociados a las vulnerabilidades de seguridad y a las incertidumbres del desarrollo de proyectos. La administracion de 
riesgos no se ha identificado como algo relevante para adquirir soluciones de Tl y para prestar servicios de Tl. 

1 Inicial / Ad Hoc cuando 

Los riesgos de Tl se toman en cuenta de manera ad hoc. Se realizan evaluaciones informales de riesgos segun lo determine cada 
proyecto. En algunas ocasiones se identifican evaluaciones de riesgos en un plan de proyectos pero se asignan rara vez a gerentes 
especfficos. Los riesgos especfficos relacionados con Tl tales como seguridad, disponibilidad e integridad se toman en cuenta 
ocasionalmente proyecto por proyecto. Los riesgos relativos a Tl que afectan las operaciones del dfa a dfa, son rara vez discutidas en 
reuniones gerenciales. Cuando se toman en cuenta los riesgos, la mitigacion es inconsistente. Existe un entendimiento emergente de 
que los riesgos de Tl son importantes y necesitan ser considerados. 

2 Repetible pero Intuitivo cuando 

Existe un enfoque de evaluacion de riesgos en desarrollo y se implementa a discrecion de los gerentes de proyecto. La administracion 
de riesgos se da por lo general a alto nivel y tfpicamente se aplica solo a proyectos grandes o como respuesta a problemas. Los 
procesos de mitigacion de riesgos estan empezando a ser implementados donde se identifican riesgos. 

3 Definido cuando 

Una polftica de administracion de riesgos para toda la organizacion define cuando y como realizar las evaluaciones de riesgos. La 
administracion de riesgos sigue un proceso definido, el cual esta documentado. El entrenamiento sobre administracion de riesgos 
esta disponible para todo el personal. La decision de seguir el proceso de administracion de riesgos y de recibir entrenamiento se 
deja a la discrecion del individuo. La metodologfa para la evaluacion de riesgos es convincente y solida, y garantiza que los riesgos 
claves para el negocio sean identificados. Un proceso para mitigar los riesgos clave por lo general se institucionaliza una vez que los 
riesgos se identifican. Las descripciones de puestos consideran las responsabilidades de administracion de riesgos. 

4 Administrado y Medible cuando 

La evaluacion y administracion de riesgos son procedimientos estandar. Las excepciones al proceso de administracion de riesgos se 
reportan a la gerencia de Tl. La administracion de riesgos de Tl es una responsabilidad de alto nivel. Los riesgos se evaluan y se 
mitigan a nivel de proyecto individual y tambien por lo regular se hace con respecto a la operacion global de Tl. La gerencia recibe 
notificacion sobre los cambios en el ambiente de negocios y de Tl que pudieran afectar de manera significativa los escenarios de 
riesgo relacionados con Tl. La gerencia puede monitorear la posicion de riesgo y tomar decisiones informadas respecto a la exposicion 
que esta dispuesta a aceptar. Todos los riesgos identificados tienen un duefio nombrado, y la alta direccion, asf como la gerencia de 
Tl han determinado los niveles de riesgo que la organizacion esta dispuesta a tolerar. La gerencia de Tl ha elaborado medidas 
estandar para evaluar el riesgo y para definir las proporciones riesgo/retorno. La gerencia presupuesta un proyecto de administracion 
de riesgo operativo para re-evaluar los riesgos de manera regular. Se establece una base de datos de administracion de riesgos, y 
parte del proceso de administracion de riesgos se empieza a automatizar. La gerencia de Tl considera las estrategias de mitigacion de 
riesgo. 

5 Optimizado cuando 

La administracion de riesgos ha evolucionado al nivel en que un proceso estructurado esta implantado en toda la organizacion y es 
bien administrado. Las buenas practicas se aplican en toda la organizacion. La captura, analisis y reporte de los datos de 
administracion de riesgos estan altamente automatizados. La orientacion se toma de los Ifderes en el campo y la organizacion de Tl 
participa en grupos de interes para intercambiar experiencias. La administracion de riesgos esta altamente integrada en todo el 
negocio y en las operaciones de Tl, esta bien aceptada, y abarca a los usuarios de servicios de Tl. La direccion detecta y actua cuando 
se toman decisiones grandes de inversion o de operacion de Tl, sin considerar el plan de administracion de riesgos. La direccion 
evalua las estrategias de mitigacion de riesgos de manera continua. 
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Descripcion del Proceso 


PIO. Administrar Proyectos. 


Establecer un marco de trabajo de administracion de programas y proyectos para la administracion de todos los proyectos de Tl 
establecidos. El marco de trabajo debe garantizar la correcta asignacion de prioridades y la coordinacion de todos los proyectos. El 
marco de trabajo debe incluir un plan maestro, asignacion de recursos, definicion de entregables, aprobacion de los usuarios, un 
enfoque de entrega porfases, aseguramiento de la calidad, un plan formal de pruebas, revision de pruebas y post-implantacion 
despues de la instalacion para garantizar la administracion de los riesgos del proyecto y la entrega de valor para el negocio. Este 
enfoque reduce el riesgo de costos inesperados y de cancelacion de proyectos, mejora la comunicacion y el involucramiento del 
negocio y de los usuarios finales, asegura el valor y la calidad de los entregables de los proyectos, y maximiza la contribucion a los 
programas de inversion facilitados por Tl. 



Administrar proyectos 



Que satisface el requerimiento del negocio de Tl para 

La entrega de resultados de proyectos dentro de marcos de tiempo, presupuesto y calidad acordados 

Enfocandose en 


Un programa y un enfoque de administracion de proyectos definidos, el cual se aplica a todos los proyectos de Tl, 
lo cual facilita la participacion de los interesados y el monitoreo de los riesgos y los avances de los proyectos 

Se logra con 

• La definicion e implantacion de marcos de trabajo y enfoques de programas y de proyectos 

• La emision de directrices de administracion para proyectos 

• La planeacion de proyectos para todos los proyectos incluidos en el portafolio de proyectos 

Y se mide con 


• Porcentaje de proyectos que satisfacen las expectativas de los interesados (a tiempo, dentro 
del presupuesto, y con satisfaccion de los requerimientos - ponderados por importancia) 

• Porcentaje de proyectos con revision post-implantacion 

• Porcentaje de proyectos que siguen estandares y practicas de administracion de proyectos 
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A Planear y Organizar 

X. X. Vr Administrar Proyectos 


Objetivos de Control 

P10. Administrar Proyectos. 

P010.1 Marco de Trabajo para la Administracion de Programas 

Mantener el programa de los proyectos, relacionados con el portafolio de programas de inversiones facilitadas por Tl, por medio de la 
identificacion, definicion, evaluacion, otorgamiento de prioridades, seleccion, inicio, administracion y control de los proyectos. 
Asegurarse de que los proyectos apoyen los objetivos del programa. Coordinar las actividades e interdependencias de multiples 
proyectos, administrar la contribucion de todos los proyectos dentro del programa hasta obtener los resultados esperados, y resolver 
los requerimientos y conflictos de recursos. 

P010.2 Marco de Trabajo para la Administracion de Proyectos 

Establecer y mantener un marco de trabajo para la administracion de proyectos que defina el alcance y los Ifmites de la 
administracion de proyectos, asf como las metodologfas a ser adoptadas y aplicadas en cada proyecto emprendido. El marco de 
trabajo y los metodos de soporte se deben integrar con los procesos de administracion de programas. 

P010.3 Enfoque de Administracion de Proyectos 

Establecer un enfoque de administracion de proyectos que corresponda al tamano, complejidad y requerimientos regulatorios de 
cada proyecto. La estructura de gobierno de proyectos puede incluir los roles, las responsabilidades y la rendicion de cuentas del 
patrocinador del programa, patrocinadores de proyectos, comite de direccion, oficina de proyectos, y gerente del proyecto, asf como 
los mecanismos por medio de los cuales pueden satisfacer esas responsabilidades (tales como reportes y revisiones por etapa). 
Asegurarse que todos los proyectos de Tl cuenten con patrocinadores con la suficiente autoridad para apropiarse de la ejecucion del 
proyecto dentro del programa estrategico global. 

P010.4 Compromise de los Interesados 

Obtener el compromiso y la participacion de los interesados afectados en la definicion y ejecucion del proyecto dentro del contexto del 
programa global de inversiones facilitadas por Tl. 

P010.5 Declaracion de Alcance del Proyecto 

Definir y documentar la naturaleza y alcance del proyecto para confirmar y desarrollar, entre los interesados, un entendimiento comun 
del alcance del proyecto y como se relaciona con otros proyectos dentro del programa global de inversiones facilitadas por Tl. La 
definicion se debe aprobar de manera formal por parte de los patrocinadores del programa y del proyecto antes de iniciar el proyecto. 

P010.6 Inicio de las Fases del Proyecto 

Aprobar el inicio de las etapas importantes del proyecto y comunicarlo a todos los interesados. La aprobacion de la fase inicial se 
debe basar en las decisiones de gobierno del programa. La aprobacion de las fases subsiguientes se debe basar en la revision y 
aceptacion de los entregables de la fase previa, y la aprobacion de un caso de negocio actualizado en la proxima revision importante 
del programa. En el caso de fases traslapadas, se debe establecer un punto de aprobacion por parte de los patrocinadores del 
programa y del proyecto, para autorizar asf el avance del proyecto. 

P010.7 Plan Integrado del Proyecto 

Establecer un plan integrado para el proyecto, aprobado y formal (que cubra los recursos de negocio y de los sistemas de informacion) 
para guiar la ejecucion y el control del proyecto a lo largo de la vida del este. Las actividades e interdependencias de multiples 
proyectos dentro de un mismo programa se deben entender y documentar. El plan del proyecto se debe mantener a lo largo de la vida 
del mismo. El plan del proyecto, y las modificaciones a este, se deben aprobar de acuerdo al marco de trabajo de gobierno del 
programa y del proyecto. 

P010.8 Recursos del Proyecto 

Definir las responsabilidades, relaciones, autoridades y criterios de desempefio de los miembros del equipo del proyecto y especificar 
las bases para adquirir y asignar a los miembros competentes del equipo y/o a los contratistas al proyecto. La obtencion de productos 
y servicios requeridos para cada proyecto se debe planear y administrar para alcanzar los objetivos del proyecto, usando las practicas 
de adquisicion de la organizacion. 

P010.9 Administracion de Riesgos del Proyecto 

Eliminar o minimizar los riesgos especfficos asociados con los proyectos individuales por medio de un proceso sistematico de 
planeacion, identificacion, analisis, respuesta, monitoreo y control de las areas o eventos que tengan el potencial de ocasionar 
cambios no deseados. Los riesgos afrontados por el proceso de administracion de proyectos y el producto entregable del proyecto se 
deben establecer y registrar de forma central. 

P010.10 Plan de Calidad del Proyecto 

Preparar un plan de administracion de la calidad que describa el sistema de calidad del proyecto y como sera implantado. El plan 
debe ser revisado y acordado de manera formal por todas las partes interesadas para luego ser incorporado en el plan integrado del 
proyecto. 

P010.ll Control de Cambios del Proyecto 

Establecer un sistema de control de cambios para cada proyecto, de tal modo que todos los cambios a la Ifnea base del proyecto (Ej. 
costos, cronograma, alcance y calidad) se revisen, aprueben e incorporen de manera apropiada al plan integrado del proyecto, de 
acuerdo al marco de trabajo de gobierno del programa y del proyecto. 
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Planeary Organizar Pjf VI |f| 

Administrar Proyectos A \J 


P010.12 Planeacion del Proyecto y Metodos de Aseguramiento 

Identificar las tares de aseguramiento requeridas para apoyar la acreditacion de sistemas nuevos o modificados durante la 
planeacion del proyecto e incluirlos en el plan integrado. Las tareas deben proporcionar la seguridad de que los controles internos y 
las caracteristicas de seguridad satisfagan los requerimientos definidos. 

P010.13 Medicion del Desempeno, Reporte y Monitoreo del Proyecto 

Medir el desempeno del proyecto contra los criterios clave del proyecto (Ej. alcance, cronograma, calidad, costos y riesgos); identificar 
las desviaciones con respecto al plan; evaluar su impacto sobre el proyecto y sobre el programa global; reportar los resultados a los 
interesados clave; y recomendar, Implementar y monitorear las medidas correctivas, segun sea requerido, de acuerdo con el marco 
de trabajo de gobierno del programa y del proyecto. 

P010.14 Cierre del Proyecto 

Solicitar que al finalizar cada proyecto, los interesados del proyecto se cercioren de que el proyecto haya proporcionado los resultados 
y los beneficios esperados. Identificar y comunicar cualquier actividad relevante requerida para alcanzar los resultados planeados del 
proyecto y los beneficios del programa, e identificar y documentar las lecciones aprendidas a ser usadas en futuros proyectos y 
programas. 
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X. X. Vr Administrar Proyectos 


Pagina dejada en bianco intencionadamente. 
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Directrices Gerenciales 


P10. Administrar Proyectos. 


Desde 

Entradas 

P01 

Portafolio de proyectos 

P05 

Portafolio de proyectos de Tl actualizado 

P07 

Matriz de habilidades de Tl 

P08 

Estandares de desarrollo 

AI7 

Revision post-implantacion 


Salidas 

Hacia 


Reportes de desempefio del 
proyecto 

MEl 







Plan de administracion de 
riesgos del proyecto 

P09 







Directrices de 

administracion del proyecto 

AI1...AI7 






Planes detallados del 
proyecto 

P08 

All... AI7 

DS6 




Portafolio actualizado de 
proyectos de Tl 

P01 

P05 







Metas y Metricas 


* Responder a los requerimientos del 
negocio de acuerdo a la estrategia del 
negocio 

* Entregar proyectos a tiempo y dentro del 
presupuesto, satisfaciendo estandares d£ 
calidad 

* Responder a los requerimientos de 
gobierno de acuerdo a la direccion 
establecida por el consejo directivo 


Procesos 


Establecer mecanismos de seguimiento y 
de control de costos/tiempos para los 
proyectos 

Proporcionar transparencia del estatus de 
los proyectos 

Tomar decisiones oportunas en la 
administracion de proyectos en los 
puntos crfticos 


Actividades 


Definir e implementar marcos de trabajo > 
enfoque para programas y proyectos 
Emitir directrices de administracion de 
proyectos 

• Realizar planeacion para cada proyecto 
contenido en el portafolio de proyectos 


Mide 

' % de proyectos que satisfacen las 
expectativas de los interesados (a tiempc|, 
dentro del presupuesto y que satisfacen 
los requerimientos - ponderados por 
importancia) 


Mide 

' % de proyectos a tiempo y dentro del 
presupuesto 

' % de proyectos que satisfacen las 
expectativas de los interesados 




Mide 

% de proyectos que siguen los estandares 
y las practicas de administracion de 
proyectos 

% de gerentes de proyecto certificados o 
entrenados 

% de proyectos que reciben revisiones 
post-implantacion 
% de interesados que participan en 
proyectos (mdice de involucramiento) 
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A Planear y Organizar 

X. X. Vr Administrar Proyectos 


Modelo de Madurez 


P10. Administrar Proyectos. 

La administracion del proceso de Administrar proyectos que satisfaga el requerimiento de negocio de Tl de entregar los resultados 
del proyecto en el tiempo, con el presupuesto y con la calidad acordado s es: 

0 No Existente cuando 

Las tecnicas de administracion de proyectos no se usan y la organizacion no toma en cuenta los impactos al negocio asociados con la 
mala administracion de los proyectos y con las fallas de desarrollo en el proyecto. 

1 Inicial / Ad Hoc cuando 

El uso de tecnicas y enfoques de administracion de proyectos dentro de Tl es una decision individual que se deja a los gerentes de Tl. 
Existe una carencia de compromiso por parte de la gerencia hacia la propiedad de proyectos y hacia la administracion de proyectos. 
Las decisiones crfticas sobre administracion de proyectos se realizan sin la intervencion de la gerencia usuaria ni del cliente. Hay poca 
o nula participacion del cliente y del usuario para definir los proyectos de Tl. No hay una organizacion clara dentro de Tl para la 
administracion de proyectos. Los roles y responsabilidades para la administracion de proyectos no estan definidas. Los proyectos, 
cronogramas y puntos clave estan definidos pobremente, si es que lo estan. No se hace seguimiento al tiempo y a los gastos del 
equipo del proyecto y no se comparan con el presupuesto 

2 Repetible pero Intuitivo cuando 

La alta direccion ha obtenido y comunicado la conciencia de la necesidad de la administracion de los proyectos de Tl. La organizacion 
esta en proceso de desarrollar y utilizar algunas tecnicas y metodos proyecto por proyecto. Los proyectos de Tl han definido objetivos 
tecnicos y de negocio de manera informal. Hay participacion limitada de los interesados en la administracion de los proyectos de Tl. 
Las directrices iniciales se han elaborado para muchos aspectos de la administracion de proyectos. La aplicacion a proyectos de las 
directrices administrativas se deja a discrecion de cada gerente de proyecto. 

3 Definido cuando 

El proceso y la metodologfa de administracion de proyectos de Tl han sido establecidos y comunicados. Los proyectos de Tl se definen 
con los objetivos tecnicos y de negocio adecuados. La alta direccion del negocio y de Tl, empiezan a comprometerse y a participar en 
la administracion de los proyectos de Tl. Se ha establecido una oficina de administracion de proyectos dentro de Tl, con roles y 
responsabilidades iniciales definidas. Los proyectos de Tl se monitorean, con puntos clave, cronogramas y mediciones de 
presupuesto y desempeno definidos y actualizados. Existe entrenamiento para la administracion de proyectos. El entrenamiento en 
administracion de proyectos es un resultado principalmente de las iniciativas individuales del equipo. Los procedi mientos de 
aseguramiento de calidad y las actividades de implantacion post-sistema han sido definidos, pero no se aplican de manera amplia por 
parte de los gerentes de Tl. Los proyectos se empiezan a administrar como portafolios. 

4 Administrado y Medible cuando 

La gerencia requiere que se revisen metricas y lecciones aprendidas estandarizadas y formales despues de terminar cada proyecto. 

La administracion de proyectos se mide y evalua a traves de la organizacion y no solo en Tl. Las mejoras al proceso de administracion 
de proyectos se formalizan y comunican y los miembros del equipo reciben entrenamiento sobre estas mejoras. La gerencia de Tl 
implementa una estructura organizacional de proyectos con roles, responsabilidades y criterios de desempeno documentados. Los 
criterios para evaluar el exito en cada punto clave se han establecido. El valor y el riesgo se miden y se administran, antes, durante y 
al final de los proyectos. Cada vez mas, los proyectos abordan las metas organizacionales, en lugar de abordar solamente las 
especfficas a Tl. Existe un apoyo fuerte y activo a los proyectos por parte de los patrocinadores de la alta direccion, asf como de los 
interesados. Ei entrenamiento relevante sobre administracion de proyectos se planea para el equipo en la oficina de proyectos y a lo 
largo de la funcion de Tl. 

5 Optimizado cuando 

Se encuentra implantada una metodologfa comprobada de ciclo de vida de proyectos, la cual se refuerza yse integra en la cultura de 
la organizacion completa. Se ha implantado una iniciativa continua para identificar e institucionalizar las mejores practicas de 
administracion de proyectos. Se ha definido e implantado una estrategia de Tl para contratar el desarrollo y los proyectos operativos. 
Una oficina de administracion de proyectos integrada es responsable de los proyectos y programas desde su concepcion hasta su 
post-implantacion. La planeacion de programas y proyectos en toda la organizacion garantiza que los recursos de Tl y del usuario se 
utilizan de la mejor manera para apoyar las iniciativas estrategicas. 
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Adquirir e Implementar 

All Identificar soluciones automatizadas 

AI2 Adquirir y mantener software aplicativo 

AI3 Adquirir y mantener infraestructura tecnologica 

AI4 Facilitar la operacion y el uso 

AI5 Adquirir recursos de Tl 

AI6 Administrar cambios 

AI7 Instalar y acreditar soluciones y cambios 



Adquirir e Implementar 

Identificar Soluciones Automatizadas 


All 


Descripcion del Proceso. 


All Identificar Soluciones Automatizadas 

La necesidad de una nueva aplicacion o funcion requiere de analisis antes de la compra o desarrollo para garantizar que los 
requisites del negocio se satisfacen con un enfoque efectivo y eficiente. Este proceso cubre la definicion de las necesidades, 
considera las fuentes alternativas, realiza una revision de la factibilidad tecnologica y economica, ejecuta un analisis de riesgo y de 
costo-beneficio y concluye con una decision final de “desarrollar” o “comprar”. Todos estos pasos permiten a las organizaciones 
minimizar el costo para Adquirir e Implementar soluciones, mientras que al mismo tiempo facilitan el logro de los objetivos del 
negocio. 


Planeary 

Organizar 

1 

Adquirir e 
Implementar 


Entregar y Dar 
Soporte 

1 

Monitorear y 

Evaluar 




Identificar soluciones automatizadas 


Que satisface el requerimiento del negocio de Tl para 

Traducir los requerimientos funcionales y de control a un disefio efectivo y eficiente de soluciones automatizadas 

Enfocandose en 


La identificacion de soluciones tecnicamente factibles y rentables 

Se logra con 

• La definicion de los requerimientos tecnicos y de negocio 

• Realizar estudios de factibilidad como se define en los estandares de desarrollo 

• Aprobar (o rechazar) los requerimientos y los resultados de los estudios de factibilidad 

Y se mide con 

• Numero de proyectos donde los beneficios establecidos no se lograron debido a suposiciones 
de factibilidad incorrectas 

• Porcentaje de estudios de factibilidad autorizados por el dueno del proceso 

• Porcentaje de usuarios satisfechos con la funcionalidad entregada 
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Adquirir e Implementar 

Identificar Soluciones Automatizadas 


Objetivos de Control 

All Identificar Soluciones Automatizadas 

All.l Definicion y Mantenimiento de los Requerimientos Tecnicos y Funcionales del Negocio 

Identificar, dar prioridades, especificar y acordar los requerimientos de negocio funcionales y tecnicos que cubran el alcance completo 
detodas las iniciativas requeridas para lograr los resultados esperados de los programas de inversion en Tl. 

AI1.2 Reporte de Analisis de Riesgos 

Identificar, documentar y analizar los riesgos asociados con los requerimientos del negocio y disefio de soluciones como parte de los 
procesos organizacionales para el desarrollo de los requerimientos. 

AI1.3 Estudio de Factibilidad y Formulacion de Cursos de Accion Alternatives 

Desarrollar un estudio de factibilidad que examine la posibilidad de Implementar los requerimientos. La administracion del negocio, 
apoyada por la funcion de Tl, debe evaluar la factibilidad y los cursos alternatives de accion y realizar recomendaciones al 
patrocinador del negocio. 

AI1.4 Requerimientos, Decision de Factibilidad yAprobacion 

Verificar que el proceso requiere al patrocinador del negocio para aprobar y autoriza los requisites de negocio, tanto funcionales como 
tecnicos, y los reportes del estudio de factibilidad en las etapas clave predeterminadas. El patrocinador del negocio tiene la decision 
final con respecto a la eleccion de la solucion y al enfoque de adquisicion. 


74 


© 2007 IT Governance Institute. All rights reserved, www.itgi.org 




Adquirir e Implementai 

Identificar Soluciones Automatizada 


All 


Directrices Gerenciales 


All Identificar Soluciones Automatizadas 


Desde 

Entradas II 

POl 

Planes estrategicos y tacticos de Tl 

P03 

Actualizaciones periodicas del “estado de la 
tecnologfa"; estandares tecnologicos 

P08 

Estandares de adquisicion y desarrollo 

P010 

Directrices de administracion del proyecto y planes 
detallados del proyecto 

AI6 

Descripcion del proceso de cambio 

DS1 

SLAs 

DS3 

Plan de desempeno y capacidad (requerimientos) 



Salidas 

Hacia 

Estudio de factibilidad de los 
requerimientos del negocio 

P02 

P05 

P07 

AI2 

AI3 

AI4 

AI5 


Matriz RACI 


Funciones 


Actividades 



Definir los requerimientos funcionales y tecnicos del negocio 



c 

C 

R 

C 

R 

R 


A/R 

1 

Establecer procesos para la integridad / validez de los requerimientos 




C 


c 


C 


A/R 

C 

Identificar documentary analizar el riesgo del proceso de negocio 



A/R 

R 

R 

R 

C 

R 


R 

C 

Conducir un estudio de factibilidad/ evaluacion de impacto con respecto a la 
implantacion de los requerimientos de negocio propuestos 



A/R 

R 

R 

C 

C 

C 


R 

c 

Evaluar los beneficios operativos de Tl para las soluciones propuestas 


1 

R 

A/R 

R 

1 

1 

1 


R 


Evaluar los beneficios de negocio de las soluciones propuestas 



A/R 

R 


c 

C 

C 

1 

R 


Elaborar un proceso de aprobacion de requerimientos 



C 

A 


c 

C 

c 


R 

c 

Aprobar y autorizar soluciones propuestas 


C 

A/R 

R 

R 

c 

C 

c 

1 

R 

c 


Una matriz RACI identifica quien es Responsable, quien debe rendir cuentas (A), quien debe ser Consultado y/o Informado 


Metas y Metricas 


* Definir como los requerimientos 
funcionales y de control del negocio se 
traducen a soluciones automatizadas 
efectivas y eficientes 
' Responder a los requerimientos de 
negocio de acuerdo con la estrategia del 
negocio 


Procesos 


Identificar soluciones que satisfagan los 
requerimientos del usuario 
Identificar soluciones que sean 
tecnicamente factibles y rentables 
Tomar la decision de “comprar vs. 
desarrollar” que optimice el valor y 
minimice el riesgo 


Mide 


z'n 




Mide 


* # de proyectos donde los beneficios 
establecidos no se lograron debido a 
suposiciones incorrectas de factibilidad 

* % de usuarios satisfechos con la 
funcionalidad recibida 


Actividades 


• Definir los requerimientos tecnicos y de 
negocio 

• Realizar estudios de factibilidad como se 
define en los estandares de desarrollo 

• Considerar los requerimientos de 
seguridad y control desde el principio 

• Aprobar (o rechazar) los requerimientos y 
los resultados del estudio de factibilidad 


rV/ 




% de interesados satisfechos con la 
precision del estudio de factibilidad 
Grado en que la definicion de los 
beneficios cambia desde el estudio de 
factibilidad hasta la implantacion 
% del portafolio aplicativo que no es 
consistente con la arquitectura 
% de estudios de factibilidad entregados 
a tiempo y en presup uesto 


Mide 


' % de proyectos en el plan anual de Tl 
sujetos a un estudio de factibilidad 
1 % de estudios de factibilidad autorizados 
por el duefio del proceso de negocio 
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Adquirir e Implementar 

Identificar Soluciones Automatizadas 


Modelo de Madurez 

All Identificar Soluciones Automatizadas 

La administration del proceso de Identificar soluciones automatizadas que satisfaga el requerimiento de negocio de Tl de traducirios 
requerimientos funcionales y de control del negocio a disefio efectivo y eficiente de soluciones automatizadas es: 

0 No Existente cuando 

La organization no requiere de la identification de los requerimientos funcionales y operatives para el desarrollo, implantacion o 
modificacion de soluciones, tales como sistemas, servicios, infraestructura y datos. La organizacion no esta consciente de las 
soluciones tecnologicas disponibies que son potencialmente relevantes para su negocio. 

1 Inicial / Ad Hoc cuando 

Existe conciencia de la necesidad de definir requerimientos y de identificar soluciones tecnologicas. Grupos individuales se reunen 
para analizar las necesidades de manera informal y los requerimientos se documentan algunas veces. Los individuos identifican 
soluciones con base en una conciencia limitada de mercado o como respuesta a ofertas de proveedores. Existe una investigacion o 
analisis estructurado mfnimo de la tecnologfa disponible. 

2 Repetible pero Intuitivo cuando 

Existen algunos enfoques intuitivos para identificar que existen soluciones de Tl y estos varan a lo largo del negocio. Las soluciones 
se identifican de manera informal con base en ia experiencia interna y en el conocimiento de la funcion de Tl. El exito de cada 
proyecto depende de la experiencia de unos cuantos individuos clave. La calidad de la documentacion y de la toma de decisiones 
varfa de forma considerable. Se usan enfoques no estructurados para definir los requerimientos e identificar las soluciones 
tecnologicas. 

3 Definido cuando 

Existen enfoques claros y estructurados para determinar las soluciones de Tl. El enfoque para ia determinacion de las soluciones de 
Tl requiere la consideracion de alternativas evaluadas contra los requerimientos del negocio o del usuario, las oportunidades 
tecnologicas, la factibilidad economica, las evaluaciones de riesgo y otros factores. El proceso para determinar las soluciones de Tl se 
aplica para algunos proyectos con base en factores tales como las decisiones tomadas por el personal involucrado, la cantidad de 
tiempo administrativo dedicado, y el tamafio y prioridad del requerimiento de negocio original. Se usan enfoques estructurados para 
definir requerimientos e identificar soluciones de Tl. 

4 Administrado y Medible cuando 

Existe una metodologfa establecida para la identificacion y la evaluacion de las soluciones de Tl y se usa para la mayorfa de los 
proyectos. La documentacion de los proyectos es de buena calidad y cada etapa se aprueba adecuadamente. Los requerimientos 
estan bien articulados y de acuerdo con las estructuras predefinidas. Se consideran soluciones alternativas, incluyendo el analisis de 
costos y beneficios. La metodologfa es clara, definida, generalmente entendida y medible. Existe una interfaz definida de forma clara 
entre la gerencia de Tl y la del negocio para la identificacion y evaluacion de las soluciones de Tl. 

5 Optimizado cuando 

La metodologfa para la identificacion y evaluacion de las soluciones de Tl esta sujeta a una mejora continua. La metodologfa de 
adquisicion e implantacion tiene la flexibilidad para proyectos de grande y de pequena escala. La metodologfa esta soportada en 
bases de datos de conocimiento internas y externas que contienen material de referenda sobre soluciones tecnologicas. La 
metodologfa en sf misma genera documentacion en una estructura predefinida que hace que la produccion y el mantenimiento sean 
eficientes. Con frecuencia, se identifican nuevas oportunidades de uso de la tecnologfa para ganar una ventaja competitiva, ejercer 
influencia en la re-ingenierfa de los procesos de negocio y mejorar la eficiencia en general. La gerencia detecta y toma medidas si las 
soluciones de Tl se aprueban sin considerar tecnologfas alternativas o los requerimientos funcionales del negocio. 
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Adquirir e Implementar 

Adquirir y Mantener Software Aplicativo 


AI2 


Descripcion del Proceso. 


AI2 Adquirir y Mantener Software Aplicativo 


Las aplicaciones deben estar disponibles de acuerdo con los requerimientos del negocio. Este proceso cubre el disefio de las 
aplicaciones, la inclusion apropiada de controles aplicativos y requerimientos de seguridad, y el desarrollo y la configuracion en sf de 
acuerdo a los estandares. Esto permite a las organ izaciones apoyar la operatividad del negocio de forma apropiada con las 
aplicaciones automatizadas correctas 



Planeary 

Organizar 

1 

Adquirir e 
Implementar 


Entregary Dar 
Soporte 

1 

Monitoreary 

Evaluar 



Adquirir y dar mantenimiento a software aplicativo 

Que satisface el requerimiento del negocio de Tl para 

Construir las aplicaciones de acuerdo con los requerimientos del negocio y haciendolas a tiempo y a un costo razonable 

Enfocandose en 


Garantizar que exista un proceso de desarrollo oportuno y confiable 

Se logra con 

• La traduccion de requerimientos de negocio a especificaciones de disefio 

• La adhesion a los estandares de desarrollo para todas las modificaciones 

• La separacion de las actividades de desarrollo, de pruebas y operativas 

Y se mide con 

• Numero de problemas en produccion por aplicacion, que causan tiempo perdido significativo 

• Porcentaje de usuarios satisfechos con la funcionalidad entregada 



| Primario Secundario 
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A Adquirir e Implementar 

■L Adquirir y Mantener Software Aplicativo 


Objetivos de Control 

AI2 Adquirir y Mantener Software Aplicativo 

AI2.1 Disefio de Alto Nivel 

Traducir los requerimientos del negocio a una especificacion de disefio de alto nivel para la adquisicion de software, teniendo en 
cuenta las directivas tecnologicas y la arquitectura de informacion dentro de la organizacion. Tener aprobadas las especificaciones de 
disefio por gerencia para garantizar que el disefio de alto nivel responde a los requerimientos. Reevaluar cuando sucedan 
discrepancias significativas tecnicas o logicas durante el desarrollo o mantenimiento. 

AI2.2 Disefio Detallado 

Preparar el disefio detallado y los requerimientos tecnicos del software de aplicacion. Definir el criterio de aceptacion de los 
requerimientos. Aprobar los requerimientos para garantizar que corresponden al disefio de alto nivel. Realizar reevaluaciones cuando 
sucedan discrepancias significativas tecnicas o logicas durante el desarrollo o mantenimiento. 

AI2.3 Control y Posibilidad de Auditar las Aplicaciones 

Implementar controles de negocio, cuando aplique, en controles de aplicacion automatizados tal que el procesamiento sea exacto, 
completo, oportuno, autorizado y auditable. 

AI2.4 Seguridad y Disponibilidad de las Aplicaciones 

Abordar la seguridad de las aplicaciones y los requerimientos de disponibilidad en respuesta a los riesgos identificados y en Ifnea con 
la clasificacion de datos, la arquitectura de la informacion, la arquitectura de seguridad de la informacion y la tolerancia a riesgos de 
la organizacion. 

AI2.5 Configuracion e Implantacion de Software Aplicativo Adquirido 

Configurar e implementar software de aplicaciones adquiridas para conseguir los objetivos de negocio. 

AI2.6 Actualizaciones Importantes en Sistemas Existentes 

En caso de cambios importantes a los sistemas existentes que resulten en cambios significativos al disefio actual y/o funcionalidad, 
seguir un proceso de desarrollo similar al empleado para el desarrollo de sistemas nuevos. 

AI2.7 Desarrollo de Software Aplicativo 

Garantizar que la funcionalidad de automatizacion se desarrolla de acuerdo con las especificaciones de disefio, los estandares de 
desarrollo y documentacion, los requerimientos de calidad y estandares de aprobacion. Asegurar que todos los aspectos legales y 
contractuales se identifican y direccionan para el software aplicativo desarrollado por terceros. 

AI2.8 Aseguramiento de la Calidad del Software 

Desarrollar, Implementar los recursos y ejecutar un plan de aseguramiento de calidad del software, para obtener la calidad que se 
especifica en la definicion de los requerimientos y en las polfticas y procedimientos de calidad de la organizacion. 

AI2.9 Administracion de los Requerimientos de Aplicaciones 

Seguir el estado de los requerimientos individuales (incluyendo todos los requerimientos rechazados) durante el disefio, desarrollo e 
implementacion, y aprobar los cambios a los requerimientos a traves de un proceso de gestion de cambios establecido. 

AI2.10 Mantenimiento de Software Aplicativo 

Desarrollar una estrategia y un plan para el mantenimiento de aplicaciones de software. 
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Adquirir e Implementar 

Adquirir y Mantener Software Aplicativo 


AI2 


Directrices Gerenciales 

AI2 Adquirir y Mantener Software Aplicativo 


Desde 

Entradas 

P02 

Diccionario de datos; esquema de clasificacion de 
datos, plan optimizado de sistema del negocio 

P03 

Actualizaciones periodicas del “estado de la 
tecnologfa” 

P05 

Reporte de costo/beneficio 

P08 

Estandares de adquisicion y desarrollo 

P010 

Directrices de administracion del proyecto y planes 
detallados del proyecto 

All 

Estudio de factibilidad de los requerimientos del 
negocio 

AI6 

Descripcion del proceso de cambio 


Salidas 

Hacia 


Especificacion de los controles de 
seguridad de la aplicacion 

DS5 







Conocimientos de la aplicacion y del 
paquete de software 

AI4 







Decisiones de adquisicion 

AI5 







SLAs de planeados inicialmente 

DS1 







Especificacion de disponibilidad, 
continuidad y recuperacion 

DS3 

DS4 








Una matriz RACI identifica quien es Responsable, quien debe rendir cuentas (A), quien debe ser Consultado y/o Informado 


Metas y Metricas 


* Definir como los requerimientos 
funcionales y de control del negocio se 
traducen a soluciones automatizadas 
efectivas y eficientes 

* Adquirir y mantener sistemas de 
aplicacion integrados y estandarizados. 


Procesos 


• Adquirir y mantener aplicaciones que 
satisfagan en forma rentable los 
requerimientos definidos para el negocio. 

• Adquirir y mantener aplicaciones de 
acuerdo con la estrategia y la 
arquitectura de Tl. 

• Garantizar que el proceso de desarrollo 
sea oportuno y rentable. 


Actividades 


• Traducir los requerimientos del negocio a 
las especificaciones de diseno 

• Adherirse a los estandares de desarrollo 
para todas las modificaciones 

• Priorizar los requerimientos con base en 
la relevancia del negocio 

• Separar actividades de desarrollo, 
pruebas y operacion 

• Aprovechar la inversion en tecnologfa 
existente 


Mide 


Z'O 




Mide 


Z'r, 




Mide 



• % de proyectos que entregan los cambios 


• % de proyectos de desarrollo a tiempo y 


• % de proyectos de software aplicativo cor 


en el negocio dentro del marco de tiempc 


dentro del presupuesto 


plan de aseguramiento de calidad del 


requerido 


• % del esfuerzo de desarrollo que se gasta 


software desarrollado y ejecutado 


• # de proyectos donde no se alcanzaron 


en mantenimiento de las aplicaciones 


• % de proyectos de software aplicativo cor 


los beneficios establecidos debido al 


existentes 


revision y aprobacion adecuadas de la 

ra 

deficiente diseno o desarrollo de la 


• # de problemas de produccion por 


conformidad con los estandares de 

aplicacion 


aplicacion que provocan tiempo perdido 


desarrollo 


• % de usuarios satisfechos con la 


notorio 


• Tiempo promedio de entrega de la 


funcionalidad entregada 


• Defectos que se reporta n por mes (por 


funcionalidad, con base en las medidas 

5 



punto funcional) 


como puntos funcionales o Ifneas de 
cod i go 
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A Adquirir e Implementar 

■L Adquirir y Mantener Software Aplicativo 


Modelo de Madurez 

AI2 Adquirir y Mantener Software Aplicativo 

La administracion del proceso de Adquirir y mantener software aplicativo que satisfaga el requerimiento de negocio de Tl de Pacer 
disponibles aplicaciones de acuerdo con /os requerimientos del negocio, en tiempo yaun costo razonabie es: 

0 No Existente cuando 

No existe un proceso de disefio y especificacion de aplicaciones. Tfpicamente, las aplicaciones se obtienen con base en ofertas de 
proveedores, en el reconocimiento de la marca o en la familiaridad del personal de Tl con productos especfficos, considerando poco o 
nada los requerimientos actuales. 

1 Inicial / Ad Hoc cuando 

Existe conciencia de la necesidad de contar con un proceso de adquisicion y mantenimiento de aplicaciones. Los enfoques para la 
adquisicion y mantenimientos de software aplicativo varfan de un proyecto a otro. Es probable que se hayan adquirido en forma 
independiente una variedad de soluciones individuales para requerimientos particulares del negocio, teniendo como resultado 
ineficiencias en el mantenimiento y soporte. Se tiene poca consideracion hacia la seguridad y disponibilidad de la aplicacion en el 
disefio o adquisicion de software aplicativo. 

2 Repetible pero Intuitivo cuando 

Existen procesos de adquisicion y mantenimiento de aplicaciones, con diferencias pero similares, en base a la experiencia dentro de 
ia operacion de Tl. El mantenimiento es a menudo problematico y se resiente cuando se pierde el conocimiento interno de la 
organizacion. Se tiene poca consideracion hacia la seguridad y disponibilidad de la aplicacion en el diseno o adquisicion de software 
aplicativo 

3 Definido cuando 

Existe un proceso claro, definido y de comprension general para la adquisicion y mantenimiento de software aplicativo. Este proceso 
va de acuerdo con la estrategia de Tl y del negocio. Se intenta aplicar los procesos de manera consistente a traves de diferentes 
aplicaciones y proyectos. Las metodologfas son por lo general, inflexibles y diffciles de aplicar en todos los casos, por lo que es muy 
probable que se salten pasos. Las actividades de mantenimiento se planean, programan y coordinan 

4 Administrado y Medible cuando 

Existe una metodologfa formal y bien comprendida que incluye un proceso de disefio y especificacion, un criterio de adquisicion, un 
proceso de prueba y requerimientos para la documentacion. Existen mecanismos de aprobacion documentados y acordados, para 
garantizar que se sigan todos los pasos y se autoricen las excepciones. Han evolucionado practicas y procedimientos para ajustarlos a 
la medida de la organizacion, los utilizan todo el personal y son apropiados para la mayorfa de los requerimientos de aplicacion. 

5 Optimizado cuando 

Las practicas de adquisicion y mantenimiento de software aplicativo se alinean con el proceso definido. El enfoque es con base en 
componentes, con aplicaciones predefinidas y estandarizadas que corresponden a las necesidades del negocio. El enfoque se 
extiende para toda la empresa. La metodologfa de adquisicion y mantenimiento presenta un buen avance y permite un 
posicionamiento estrategico rapido, que permite un alto grado de reaccion y flexibilidad para responder a requerimientos cambiantes 
del negocio. La metodologfa de adquisicion e implantacion de software aplicativo ha sido sujeta a mejora continua y se soporta con 
bases de datos internas y externas que contienen materiales de referencia y ias mejores practicas. La metodologfa produce 
documentacion dentro de una estructura predefinida que hace eficiente la produccion y mantenimiento. 
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Adquirir e Implementar 

Adquirir y Mantener Infraestructura Tecnologica 


AI3 


Descripcion del Proceso. 


AI3 Adquirir y Mantener Infraestructura Tecnologica 


Las organizaciones deben contar con procesos para adquirir, Implementar y actualizar la infraestructura tecnologica. Esto requiere de 
un enfoque planeado para adquirir, mantener y proteger la infraestructura de acuerdo con las estrategias tecnologicas convenidas y 
la disposicion del ambiente de desarrollo y pruebas. Esto garantiza que exista un soporte tecnologico continuo para las aplicaciones 
del negocio. 



Control sobre el proceso Tl de 

Adquirir y dar mantenimiento a la infraestructura tecnologica 


Planeary 

Organizar 

1 

Adquirir e 
Implementar 


Entregary Dar 
Soporte 

1 

Monitoreary 

Evaluar 



Que satisface el requerimiento del negocio de Tl para 


Adquirir y dar mantenimiento a una infraestructura integrada y estandar de Tl 


Enfocandose en 


Proporcionar plataformas adecuadas para las aplicaciones del negocio, de acuerdo con ia arquitectura definida de 
Tl y los estandares de tecnologfa 

Se logra con 

• El establecimiento de un plan de adquisicion de tecnologfa que se alinea con el plan de 
infraestructura tecnologica 

• La planeacion de mantenimiento de la infraestructura 

• La implantacion de medidas de control interno, seguridad y auditabilidad 

Y se mide con 

• El porcentaje de plataformas que no se alinean con la arquitectura de Tl definida y los 
estandares de tecnologfa 

• El numero de procesos de negocio crfticos soportados por infraestructura obsoleta (o que 
pronto lo sera) 

• El numero de componentes de infraestructura que ya no se pueden soportar (o que ya no se 
podran en el futuro cercano) 
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AI3 


Adquirir e Implementar 

Adquirir y Mantener Infraestructura Tecnologica 


Objetivos de Control 

AI3 Adquirir y Mantener Infraestructura Tecnologica 

AI3.1 Plan de Adquisicion de Infraestructura Tecnologica 

Generar un plan para adquirir, Implementar y mantener la infraestructura tecnologica que satisfaga los requerimientos establecidos 
funcionales y tecnicos del negocio, y que este de acuerdo con la direccion tecnologica de la organizacion. El plan debe considerar 
extensiones futuras para adiciones de capacidad, costos de transicion, riesgos tecnologicos y vida util de la inversion para 
actualizaciones de tecnologfa. Evaluar los costos de complejidad y la viabilidad comercial del proveedor y el producto al anadir nueva 
capacidad tecnica. 

AI3.2 Protection y Disponibilidad del Recurso de Infraestructura 

Implementar medidas de control interno, seguridad y auditabilidad durante la configuracion, integracion y mantenimiento del 
hardware y del software de la infraestructura para proteger los recursos y garantizar su disponibilidad e integridad. Se deben definir y 
comprender claramente las responsabilidades al utilizar componentes de infraestructura sensitivos por todos aquellos que 
desarrollan e integran los componentes de infraestructura. Se debe monitorear y evaluar su uso. 

AI3.3 Mantenimiento de la Infraestructura 

Desarrollar una estrategia y un plan de mantenimiento de la infraestructura y garantizar que se controlan los cambios, de acuerdo con 
el procedimiento de administracion de cambios de la organizacion. Incluir una revision periodica contra las necesidades del negocio, 
administracion de parches y estrategias de actualization, riesgos, evaluation de vulnerabilidades y requerimientos de seguridad. 

AI3.4 Ambiente de Prueba de Factibilidad 

Establecer el ambiente de desarrollo y pruebas para soportar la efectividad y eficiencia de las pruebas de factibilidad e integracion de 
aplicaciones e infraestructura, en las primeras fases del proceso de adquisicion y desarrollo. Hay que considerar la funcionalidad, la 
configuracion de hardware y software, pruebas de integracion y desempeno, migration entre ambientes, control de la versiones, datos 
y herramientas de prueba y seguridad. 
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Adquirir e Implementar 

Adquirir y Mantener Infraestructura Tecnologica 


AI3 


Directrices Gerenciales 

AI3 Adquirir y Mantener Infraestructura Tecnologica 


Desde 

Entradas 

P03 

Plan de infraestructura de tecnologfa; estandares y 
oportunidades, actualizaciones periodicas del 
“estado de tecnologfa” 

P08 

Estandares de adquisicion y desarrollo 

P010 

Directrices de administracion de proyecto y planes 
detallados de proyecto 

All 

Estudio de factibilidad de los requerimientos del 
negocio 

AI6 

Descripcion del proceso de cambio 

DS3 

Plan de desempeno y capacidad (requerimientos) 


Salidas 

Hacia 


Decisiones de adquisicion 

AI5 







Sistema configurado para realizar 
prueba / instalacion 

AI7 







Requerimientos de ambiente ffsico 

DS12 







Actualizaciones de estandares de 
tecnologfa 

P03 







Requerimientos de monitoreo del 
sistema 

DS3 







Conocimiento de la infraestructura 

AI4 







OLAs planeadas inicialmente 

DS1 









Metas y Metricas 


* Adquirir y mantener una infraestructura 
de Tl integrada y estandarizada. 

* Optimizar la infraestructura, recursos y 
capacidades de Tl. 

* Desarrollar la agilidad de Tl. 


Procesos 


Proporcionar las plataformas adecuadas 
a las aplicaciones del negocio, de 
acuerdo con los estandares de 
arquitectura y tecnologia que define Tl 
Proporcionar una infraestructura de Tl 
confiable y segura. 


Mide 


Z'r, 




Mide 


’ # de procesos de negocio crfticos 
soportados por infraestructura obsoleta 
(o que pronto lo sera) 


% de plataformas que no estan de 
acuerdo con los estandares de 
arquitectura y tecnologia que define Tl 
# de plataformas de tecnologia distintas 
por funcion en la empresa 
% de componentes de la infraestructura 
adquiridos porfuera del proceso de 
adquisiciones 

% de componentes de infraestructura que 
no se pueden soportar (o que no lo seran 
en el futuro) 


Actividades 


• Producir un plan de adquisicion de 
tecnologia que este de acuerdo con el 
plan de infraestructura de tecnologfa 

• Planear el mantenimiento de la 
infraestructura 

• Proporcionar infraestructura y ambiente 
de desarrollo y prueba 

• Implementar medidas de control interno, 
seguridad y auditorfa. 


r '/> 


& 


Mide 


• # y tipo de modificaciones de emergencia 
a componentes de la infraestructura 

• # de solicitudes de adquisicion 
sobresalientes 

• Tiempo promedio para configurar los 
componentes de la infraestructura 
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AI3 


Adquirir e Implementar 

Adquirir y Mantener Infraestructura Tecnologica 


Modelo de Madurez 

AI3 Adquirir y Mantener Infraestructura Tecnologica 

La administracion del proceso de Adquirir y mantener infraestructura de tecnologfa que satisfaga el requerimiento de negocio de Tl 
de adquirir y mantener una infraestructura de Tl integrada y estandarizada es: 

0 No Existente cuando 

No se reconoce la administracion de la infraestructura de tecnologfa como un asunto importante al cual deba ser resuelto. 

1 Inicial / Ad Hoc cuando 

Se realizan cambios a la infraestructura para cada nueva aplicacion, sin ningun plan en conjunto. Aunque se tiene la percepcion de 
que la infraestructura de Tl es importante, no existe un enfoque general consistente. La actividad de mantenimiento reacciona a 
necesidades de corto plazo. El ambiente de produccion es el ambiente de prueba. 

2 Repetible pero Intuitivo cuando 

No hay consistencia entre enfoques tacticos al adquirir y dar mantenimiento a la infraestructura de Tl. La adquisicion y mantenimiento 
de la infraestructura de Tl no se basa en una estrategia definida y no considera las necesidades de las aplicaciones del negocio que 
se deben respaldar. Se tiene la nocion de que la infraestructura de Tl es importante, que se apoya en algunas practicas formales. 
Algunos mantenimientos se programan, pero no se programa ni se coordina en su totalidad. Para algunos ambientes, existe un 
ambiente de prueba por separado. 

3 Definido cuando 

Existe un claro, definido y generalmente entendido proceso para adquirir y dar mantenimiento a la infraestructura Tl. El proceso 
respalda las necesidades de las aplicaciones crfticas del negocio y concuerda con ia estrategia de negocio de Tl, pero no se aplica en 
forma consistente. Se planea, programa y coordina el mantenimiento. Existen ambientes separados para prueba y produccion. 

4 Administrado y Medible cuando 

Se desarrolla el proceso de adquisicion y mantenimiento de ia infraestructura de tecnologfa a tal punto que funciona bien para la 
mayorfa de las situaciones, se le da un seguimiento consistente y un enfoque hacia la reutilizacion. La infraestructura de Tl soporta 
adecuadamente las aplicaciones del negocio. El proceso esta bien organizado y es preventivo. Tanto el costo como el tiempo de 
realizacion para alcanzar el nivel esperado de escalamiento, flexibilidad e integracion se han optimizado parcialmente. 

5 Optimizado cuando 

El proceso de adquisicion y mantenimiento de la infraestructura de tecnologfa es preventivo y esta estrechamente en Ifnea con las 
aplicaciones crfticas del negocio y con ia arquitectura de ia tecnologfa. Se siguen buenas practicas respecto a las soluciones de 
tecnologfa, y la organizacion tiene conciencia de las ultimas plataformas desarroiladas y herramientas de administracion. Se reducen 
costos al racionalizar y estandarizar los componentes de la infraestructura y con el uso de la automatizacion. Con un alto nivel de 
conciencia se pueden identificar los medios optimos para mejorar el desempeho en forma preventiva, incluyendo el considerar la 
opcion de contratar servicios externos. La infraestructura de Tl se entiende como el apoyo clave para impulsar el uso de Tl. 
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Adquirir e Implementar 

Facilitar la Operacion y el Uso 


AI4 


Descripcion del Proceso. 

AI4 Facilitar la Operacion y el Uso 

El conocimiento sobre los nuevos sistemas debe estar disponible. Este proceso requiem la generacion de documentacion y manuales 
para usuarios y para Tl, y proporciona entrenamiento para garantizar el uso y la operacion correctos de las aplicaciones y la 
infraestructura. 


Planear y 

Organizar 

1 

Adquirir e 
Implementar 


Entregary Dar 
Soporte 

1 

Monitoreary 

Evaluar 




Facilitar la operacion y el uso 


Que satisface el requerimiento del negocio de Tl para 

Garantizar la satisfaccion de los usuarios finales mediante ofrecimientos de servicios y niveles de servicio, y de forma 
transparente integrar las soluciones de aplicacion y tecnologfa dentro de los procesos del negocio 


Enfocandose en 

Proporcionar manuales efectivos de usuario y de operacion y materiales de entrenamiento para transferir el 
conocimiento necesario para la operacion y el uso exitosos del sistema. 

Se logra con 

• El desarrollo y la disponibilidad de documentacion para transferir el conocimiento 

• Comunicacion y entrenamiento a usuarios y a la gerencia del negocio, al personal de apoyo y al 
personal de operacion 

• La generacion de materiales de entrenamiento 

Y se mide con 

• El numero de aplicaciones en que los procedimientos de Tl se integran en forma transparente 
dentro de los procesos de negocio 


• El porcentaje de duenos de negocios satisfechos con el entrenamiento De aplicacion y los 
materiales de apoyo. 
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Adquirir e Implementar 

Facilitar la Operacion y el Uso 


Objetivos de Control 

AI4 Facilitar la Operacion y el Uso 

AI4.1 Plan para Soluciones de Operacion 

Desarrollar un plan para identificar y documentar todos los aspectos tecnicos, la capacidad de operacion y los niveles de servicio 
requeridos, de manera que todos los interesados puedan tomar la responsabilidad oportunamente por la produccion de 
procedimientos de administracion, de usuario y operativos, como resultado de la introduccion o actualizacion de sistemas 
automatizados o de infraestructura. 

AI4.2 Transferencia de Conocimiento a la Gerencia del Negocio 

Transferir el conocimiento a la gerencia de la empresa para permitirles tomar posesion del sistema y los datos y ejercer la 
responsabilidad por la entrega y calidad del servicio, del control interno, y de los procesos administrativos de la aplicacion. La 
transferencia de conocimiento incluye la aprobacion de acceso, administracion de privilegios, segregacion de tareas, controles 
automatizados del negocio, respaldo/recuperacion, seguridad ffsica y archivo de la documentacion fuente. 

AI4.3 Transferencia de Conocimiento a Usuarios Finales 

Transferencia de conocimiento y habilidades para permitir que los usuarios finales utilicen con efectividad y eficiencia el sistema de 
aplicacion como apoyo a los procesos del negocio. La transferencia de conocimiento incluye el desarrollo de un plan de 
entrenamiento que aborde al entrenamiento inicial y al continuo, asf como el desarrollo de habilidades, materiales de entrenamiento, 
manuales de usuario, manuales de procedimiento, ayuda en Ifnea, asistencia a usuarios, identificacion del usuario clave, y 
evaluacion. 

AI4.4 Transferencia de Conocimiento al Personal de Operaciones y Soporte 

Transferir el conocimiento y las habilidades para permitir al personal de soporte tecnico y de operaciones que entregue, apoyen y 
mantenga la aplicacion y la infraestructura asociada de manera efectiva y eficiente de acuerdo a los niveles de servicio requeridos. La 
transferencia del conocimiento debe incluir al entrenamiento inicial y continuo, el desarrollo de las habilidades, los materiales de 
entrenamiento, los manuales de operacion, los manuales de procedimientos y escenarios de atencion al usuario. 
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Adquirir e Implementar 

Facilitar la Operacion y el Uso 


AI4 


Directrices Gerenciales 


AI4 Facilitar la Operacion y el Uso 


Desde 

Entradas 

P010 

Directrices de administracion del proyecto y planes 
detallados de proyecto 

All 

Estudio de factibilidad de requerimientos del 
negocio 

AI2 

Conocimientos de la aplicacion y de software de 
paquete 

AI3 

Conocimiento de la infraestructura 

AI7 

Errores conocidos y admitidos 

DS7 

Actualizaciones de documentacion requeridas 


Salidas 

Hacia 





Manuales de usuario, de operacion, 
de soporte, tecnicos y de 
administracion 

AI7 

DS4 

DS8 

DS9 

DS11 

DS13 


Requerimientos de transferencia de 
conocimiento para implantacion de 
soluciones 

DS7 







Materiales de entrenamiento 

DS7 









Una matriz RACI identifica quien es Responsable, quien debe rendir cuentas (A), quien debe ser Consultado y/o Informado 


Metas y Metricas 


* Garantizar el uso y desempeno apropiadc 
de aplicaciones y de soluciones de 
tecnologfa. 

* Garantizar la satisfaccion de usuarios 
finales con ofrecimientos de servicio y 
niveles de servicio. 

* Integrar en forma transparente las 
aplicaciones y las soluciones de 
tecnologfa dentro de los procesos del 
negocio. 

' Reducir defectos y correcciones en la 
entrega de soluciones y servicios. 


Mide 


* # de aplicaciones en las que los 
procedimientos de Tl se integran de 
forma continua dentro de los procesos 
del negocio 

* % de duenos de negocios satisfechos cor 
el entrenamiento de aplicaciones y 
materia les de apoyo 


Procesos 


Proporcionar manuales efectivos de 
usuario y de operacion y materiales de 
entrenamiento para aplicaciones y 
soluciones tecnicas. 

Transferir el conocimiento necesario para 
la operacion exitosa del sistema. 


Z'r, 




Actividades 


1 Desarrollar y hacer disponible la 
documentacion de transferencia del 
conocimiento 

1 Participar y entrenar a usuarios y a la 
gerencia del negocio, personal de soporte 
y personal de operacion 

1 Generar materiales de entrenamiento 


Mide 


ZfO 


& 


Mide 


# de incidentes provocados por 
deficiencias en la documentacion y 
entrenamiento de usuario y de operacion 

# de solicitudes de entrenamiento 
manejada por el servicio a usuarios 

Puntajes satisfactorios para 
entrenamiento y documentacion en 
relacion con el usuario y los 
procedimientos de operacion 
Reduccion de costos para 
producir/mantener documentacion del 
usuario, procedimientos de operacion y 
materiales de entrenamiento 


• Nivel de asistencia a entrenamiento de 
usuarios y operadores para cada 
aplicacion 

• Lapso de tiempo entre modificaciones y 
actualizaciones de materiales de 
entrenamiento, procedimientos y 
documentacion 

• Disponibilidad, integridad y exactitud de 
la documentacion de usuario y de 
operacion 

• # de aplicaciones con entrenamiento de 
apoyo adecuado para el usuario y la 
operacion 
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Adquirir e Implementar 

Facilitar la Operacion y el Uso 


Modelo de Madurez 

AI4 Facilitar la Operacion y el Uso 

La administracion del proceso de Facilitar la operacion y el uso que satisfaga el requerimiento de negocio de Tl de garantizar la 
satisfaccion de /os usuarios finales con ofrecimiento de servicios y niveles de servicio, e integrar de forma transparente aplicaciones 
y soluciones de tecnologfa dentro de /os procesos del negocio es: 

0 No Existente cuando 

No existe el proceso con respecto a la produccion de documentacion de usuario, manuales de operacion y material de entrenamiento. 
Los unicos materiales existentes son aquellos que se suministran con los productos que se adquieren. 

1 Inicial / Ad Hoc cuando 

Existe la percepcion de que la documentacion de proceso es necesaria. La documentacion se genera ocasionalmente y se distribuye 
en forma desigual a grupos limitados. Mucha de la documentacion y muchos de los procedimientos ya caducaron. Los materiales de 
entrenamiento tienden a ser esquemas unicos con calidad variable. Virtualmente no existen procedimientos de integracion a traves 
de los diferentes sistemas y unidades de negocio. No hay aportes de las unidades de negocio en el disefio de programas de 
entrenamiento. 

2 Repetible pero Intuitivo cuando 

Se utilizan enfoques similares para generar procedimientos y documentacion, pero no se basan en un enfoque estructural o marco de 
trabajo. No hay un enfoque uniforme para el desarrollo de procedimientos de usuario y de operacion. Individuos o equipos de 
proyecto generan los materiales de entrenamiento, y la calidad depende de los individuos que se involucran. Los procedimientos y ia 
calidad del soporte al usuario van desde pobre a muy buena, con una consistencia e integracion muy pequena a lo largo de la 
organizacion. Se proporcionan o facilitan programas de entrenamiento para el negocio y los usuarios, pero no hay un plan general 
para ofrecer o dar entrenamiento. 

3 Definido cuando 

Existe un esquema bien definido, aceptado y comprendido para documentacion del usuario, manuales de operacion y materiales de 
entrenamiento. Se guardan y se mantienen los procedimientos en una biblioteca formal y cualquiera que necesite saber tiene acceso 
a ella. Las correcciones a la documentacion y a los procedimientos se realizan por reaccion. Los procedimientos se encuentran 
disponibles fuera de Ifnea y se pueden acceder y mantener en caso de desastre. Existe un proceso que especifica las actualizaciones 
de procedimientos y los materiales de entrenamiento para que sea un entregable explicito de un proyecto de cambio. A pesar de la 
existencia de enfoques definidos, el contenido actual varfa debido a que no hay un control para reforzar el cumplimiento de 
estandares. Los usuarios se involucran en los procesos informalmente. Cada vez se utilizan mas herramientas automatizadas en la 
generacion y distribucion de procedimientos. Se planea y programa tanto el entrenamiento del negocio como de los usuario. 

4 Administrado y Medible cuando 

Existe un esquema definido para los procedimientos de mantenimiento y para los materiales de entrenamiento que cuentan con el 
soporte de la administracion de Tl. El enfoque considerado para los procedimientos de mantenimiento y los manuales de 
entrenamiento cubren todos los sistemas y las unidades de negocio, de manera que se pueden observar los procesos desde una 
perspectiva de negocio. Los procedimientos y materiales de entrenamiento se integran para que contengan interdependencias e 
interfases. Existen controles para garantizar que se adhieren los estandares y que se desarrollan y mantienen procedimientos para 
todos los procesos. La retroalimentacion del negocio y del usuario sobre la documentacion y el entrenamiento se recopila y evalua 
como parte de un proceso continuo de mejora. Los materiales de documentacion y entrenamiento se encuentran generalmente a un 
buen nivel, predecible, de confiabilidad y disponibilidad. Se implanta un proceso emergente para el uso de documentacion y 
administracion automatizada de procedimiento. El desarrollo automatizado de procedimientos se integra cada vez mas con el 
desarrollo de sistemas aplicativos, facilitando la consistencia y el acceso al usuario. El entrenamiento de negocio y usuario es 
sensible a las necesidades del negocio. La administracion de Tl esta desarrollando medidas para el desarrollo y la entrega de 
documentacion, materiales y programas de entrenamiento. 

5 Optimizado cuando 

El proceso para la documentacion de usuario y de operacion se mejora constantemente con la adopcion de nuevas herramientas o 
metodos. Los materiales de procedimiento y de entrenamiento se tratan como una base de conocimiento en evolucion constante que 
se mantiene en forma electronica, con el uso de administracion de conocimiento actualizada, flujo de trabajo y tecnologfas de 
distribucion, que los hacen accesibles y faciles de mantener. Ei material de documentacion y entrenamiento se actualiza para reflejar 
los cambios en la organizacion, en la operacion y en el software. Tanto el desarrollo de materiales de documentacion y entrenamiento 
como la entrega de programas de entrenamiento, se encuentran completamente integrados con el negocio y con las definiciones de 
proceso del negocio, siendo asf un apoyo a los requerimientos de toda la organizacion y no tan solo procedimientos orientados a Tl. 
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Adquirir e Implementar 

Adquirir Recursos de Tl 


AI5 


Descripcion del Proceso. 


AI5 Adquirir Recursos de Tl 


Se deben suministrar recursos Tl, incluyendo personas, hardware, software y servicios. Esto requiere de la definicion y ejecucion de 
los procedimientos de adquisicion, la seleccion de proveedores, el ajuste de arreglos contractuales y la adquisicion en sf. El hacerlo 
asf garantiza que la organizacion tenga todos los recursos de Tl que se requieren de una manera oportuna y rentable. 



Control sobre el proceso Tl de 

Adquirir recursos de Tl 



Que satisface el requerimiento del negocio de Tl para 


Mejorar la rentabilidad de Tl y su contribucion a la utilidad del negocio 


Enfocandose en 


Adquirir y mantener las habilidades de Tl que respondan a la estrategia de entrega, en una infraestructura Tl 
integrada y estandarizada, y reducir el riesgo de adquisicion de Tl 

Se logra con 

• La obtencion de asesoria profesional legal y contractual 

• La definicion de procedimientos y estandares de adquisicion 

• La adquisicion de hardware, software y servicios requeridos de acuerdo con los procedimientos 
definidos 

Y se mide con 

• El numero de controversias en relacion con los contratos de adquisicion 

• La reduccion del costo de compra 

• El porcentaje de interesados clave satisfechos con los proveedores 
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Objetivos de Control 


AI5 Adquirir Recursos de Tl 

AI5.1 Control de Adquisicion 

Desarrollar y seguir un conjunto de procedimientos y estandares consistente con el proceso general de adquisiciones de la 
organizacion y con la estrategia de adquisicion para adquirir infraestructura relacionada con Tl, instalaciones, hardware, software y 
servicios necesarios por el negocio. 

AI5.2 Administracion de Contratos con Proveedores 

Formular un procedimiento para establecer, modificar y concluir contratos para todos los proveedores. El procedimiento debe cubrir, 
como mmimo, responsabilidades y obligaciones legales, financieras, organizacionales, documentales, de desempeho, de seguridad, 
de propiedad intelectual y responsabilidades de conclusion, asf como obligaciones (que incluyan clausulas de penalizacion). Todos los 
contratos y las modificaciones a contratos las deben revisar asesores legales. 

AI5.3 Seleccion de Proveedores 

Seleccionar proveedores de acuerdo a una practica justa y formal para garantizar la mejor viable y encajable segun los requerimientos 
especificados. Los requerimientos deben estar optimizados con las entradas de los proveedores potenciales. 

AI5.4 Adquisicion de Recursos de Tl 

Proteger y hacer cumplir los intereses de la organizacion en todo los contratos de adquisiciones, incluyendo los derechos y 
obligaciones de todas las partes en los terminos contractuales para la adquisicion de software, recursos de desarrollo, infraestructura 
y servicios. 
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Adquirir e Implementar 

Adquirir Recursos de Tl 


AI5 


Directrices Gerenciales 

AI5 Adquirir Recursos de Tl 


Desde 

Entradas 

POl 

Estrategia de adquisicion de Tl 

P08 

Estandares de adquisicion 

P010 

Directrices de administracion de proyecto y planes 
detallados de proyecto 

All 

Estudio de factibilidad de requerimientos del 
negocio 

A 12-3 

Decisiones de adquisicion 

DS2 

Catalogo de proveedores 


Salidas 

Hacia 


Requerimientos de administracion 
de la relacion con terceros 

DS2 







Artfculos provistos 

AI7 







Arreglos contractuales 

DS2 









Una matriz RACI identifica quien es Responsable, quien debe rendir cuentas (A), quien debe ser Consultado y/o Informado 


Metas y Metricas 


* Adquirir y mantener aplicaciones 
integradas y estandarizadas, e 
infraestructura de Tl. 

* Adquirir y mantener habilidades de Tl que 
respondan a la estrategia de entrega. 

* Mejorar la rentabilidad de Tl y su 
contribucion a la utilidad del negocio. 


Procesos 


• Reducir el riesgo de adquisicion de Tl. 

• Lograr valor monetario por las 
adquisiciones de Tl. 


Actividades 


• Conseguir asesoria profesional legal y 
contractual 

• Definir los procedimientos y estandares 
de adquisicion 

• Adquirir el hardware, software y servicios 
solicitados de acuerdo con los 
procedimientos definidos. 


Mide 


' # de disputas en relacion con los 
contratos de adquisicion 
' Reduccion en el costo de compra 
’ % de interesados clave satisfechos con 
los proveedores 


Mide 

% de requerimientos iniciales resueltos 
por la solucion elegida. 

% de adquisiciones que cumplen con las 
polfticas y procedimientos de adquisicion 
vigentes 

Costos unitarios reducidos de los bienes 
o servicios adquiridos 


Mide 


• Lapso de tiempo entre la solicitud de 
adquisicion y la firma del contrato de 
compra 

* # de solicitudes de adquisicion 
satisfechas por la lista de proveedores 
preferenciales 

' # de RFPs que fue necesario mejorar con 
base a las respuestas del proveedor 

* # de solicitudes de adquisicion que se 
cierran a tiempo 

• # de modificaciones del proveedor para l< 
misma clase de bienes y servicios 
adquiridos 

' # de respuestas recibidas a la RFP 
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Modelo de Madurez 


AI5 Adquirir Recursos de Tl 

La administracion del proceso de Adquirir recursos de Tl que satisfaga el requerimiento de negocio de Tl de mejorar la rentabilidad de 
Tl ysu contribucion a la utilidad del negocio es: 

0 No Existente cuando 

No existe un proceso definido de adquisicion de recursos de Tl. La organizacion no reconoce la necesidad de tener polfticas y 
procedimientos claros de adquisicion para garantizar que todos los recursos de Tl se encuentren disponibles y de forma oportuna y 
rentable. 

1 Inicial / Ad Hoc cuando 

La organizacion ha reconocido la necesidad de tener polfticas y procedimientos documentados que enlacen ia adquisicion de Tl con el 
proceso general de adquisiciones de la organizacion. Los contratos para la adquisicion de recursos de Tl son elaborados y 
administrados por gerentes de proyecto y otras personas que ejercen su juicio profesional mas que seguir resultados de 
procedimientos y polfticas formales. Solo existe un relacion ad hoc entre los procesos de administracion de adquisiciones y contratos 
corporativos y Tl. Los contratos de adquisicion se administran a la terminacion de los proyectos mas que sobre una base continua. 

2 Repetible pero Intuitivo cuando 

Existe conciencia organizacional de la necesidad de tener polfticas y procedimientos basicos para la adquisicion de Tl. Las polfticas y 
procedimientos se integran parcialmente con el proceso general de adquisicion de la organizacion del negocio. Los procesos de 
adquisicion se utilizan principalmente en proyectos mayores y bastante visibles. Se determinan responsabilidades y rendicion de 
cuentas para la administracion de adquisicion y contrato de Tl segun la experiencia particular del gerente de contrato. Se reconoce la 
importancia de administrar proveedores y las relaciones con ellos, pero se manejan con base en la iniciativa individual. Los procesos 
de contrato se utilizan principalmente en proyectos mayores o muy visibles. 

3 Definido cuando 

La administracion establece polfticas y procedimientos para la adquisicion de Tl. Las polfticas y procedimientos toman como gufa el 
proceso general de adquisicion de la organizacion. La adquisicion de Tl se integra en gran parte con los sistemas generales de 
adquisicion del negocio. Existen estandares de Tl para la adquisicion de recursos de Tl. Los proveedores de recursos de Tl se integran 
dentro de los mecanismos de administracion de proyectos de la organizacion desde una perspectiva de administracion de contratos. 
La administracion de Tl comunica ia necesidad de contar con una administracion adecuada de adquisiciones y contratos en toda la 
funcion de Tl. 

4 Administrado y Medible cuando 

La adquisicion de Tl se integra totalmente con los sistemas generales de adquisicion de la organizacion. Se utilizan los estandares 
para ia adquisicion de recursos de Tl en todos los procesos de adquisicion. Se toman medidas para la administracion de contratos y 
adquisiciones relevantes para los casos de negocio que requieran la adquisicion de Tl. Se dispone de reportes que sustentan los 
objetivos de negocio. La administracion esta consciente por lo general, de las excepciones a las polfticas y procedimientos para la 
adquisicion de Tl. Se esta desarrollando una administracion estrategica de relaciones. La administracion de Tl implanta el uso de 
procesos de administracion para adquisicion y contratos en todas las adquisiciones mediante la revision de medicion al desempeho 

5 Optimizado cuando 

La administracion instituye y da recursos a procesos exhaustivos para la adquisicion de Tl. La administracion impulsa el cumplimiento 
de las polfticas y procedimientos de adquisicion de Tl. Se toman las medidas en la administracion de contratos y adquisiciones, 
relevantes en casos de negocio para adquisicion de Tl. Se establecen buenas relaciones con el tiempo con la mayorfa de los 
proveedores y socios, y se mide y vigila la caiidad de estas relaciones. Se manejan las relaciones en forma estrategica. Los 
estandares, polfticas y procedimientos de Tl para la adquisicion de recursos Tl se manejan estrategicamente y responden a la 
medicion del proceso. La administracion de Tl comunica la importancia estrategica de tener una administracion apropiada de 
adquisiciones y contratos, a traves de la funcion Tl. 
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Adquirir e Implementar 

Administrar Cambios 


AI6 


Descripcion del Proceso. 

AI6 Administrar Cambios 

Todos los cambios, incluyendo el mantenimiento de emergencia y parches, relacionados con la infraestructura y las aplicaciones 
dentro del ambiente de produccion, deben administrarse formalmente y controladamente. Los cambios (incluyendo procedimientos, 
procesos, sistema y parametros del servicio) se deben registrar, evaluar y autorizar previo a la implantacion y revisar contra los 
resultados planeados despues de la implantacion. Esto garantiza la reduccion de riesgos que impactan negativamente la estabilidad 
o integridad del ambiente de produccion. 


Planeary 

Organizar 

1 

Adquirir e 
Implementar 


Entregar y Dar 
Soporte 

1 

Monitorear y 

Evaluar 




Administrar cambios 


Que satisface el requerimiento del negocio de Tl para 

Responder a los requerimientos del negocio de acuerdo con la estrategia de negocio, mientras se reducen los defectos y la 
repeticion de trabajos en la prestacion del servicio y en la solucion. 

Enfocandose en 

Controlar la evaluacion de impacto, autorizacion e implantacion de todos los cambios a la infraestructura de Tl, 
aplicaciones y soluciones tecnicas, minimizando errores que se deben a especificaciones incompletas de la 
solicitud y detener la implantacion de cambios no autorizados 

Se logra con 

• La definicion y comunicacion de los procedimientos de cambio, que incluyen cambios de emergencia 

• La evaluacion, la asignacion de prioridad y autorizacion de cambios 

• Seguimiento del estatus y reporte de los cambios 

Y se mide con 

• El numero de interrupciones o errores de datos provocados por especificaciones inexactas o 
una evaluacion de impacto incompleta 

• La repeticion de aplicaciones o infraestructura debida a especificaciones de cambio 
inadecuadas 

• El porcentaje de cambios que siguen procesos de control de cambio formales 
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Adquirire Implementor 

■L vf Administrar Cambios 


Objetivos de Control 


AI6 Administrar Cambios 

AI6.1 Estandares y Procedi mientos para Cambios 

Establecer procedimientos de administracion de cambio formales para manejar de manera estandar todas las solicitudes (incluyendo 
mantenimiento y parches) para cambios a aplicaciones, procedimientos, procesos, parametros de sistema y servicio, y las 
plataformas fundamentales. 

AI6.2 Evaluacion de Impacto, Priorizacion y Autorizacion 

Garantizar que todas las solicitudes de cambio se evaluan de una estructurada manera en cuanto a impactos en el sistema 
operacional y su funcionalidad. Esta evaluacion debera incluir categorizacion y priorizacion de los cambios. Previo a la migracion hacia 
produccion, los interesados correspondientes autorizan los cambios. 

AI6.3 Cambios de Emergencia 

Establecer un proceso para definir, plantear, evaluar y autorizar los cambios de emergencia que no sigan el proceso de cambio 
establecido. La documentacion y pruebas se realizan, posiblemente, despues de la implantacion del cambio de emergencia. 

AI6.4 Seguimiento y Reporte del Estatus de Cambio 

Establecer un sistema de seguimiento y reporte para mantener actualizados a los solicitantes de cambio y a los interesados 
relevantes, acerca del estatus del cambio a las aplicaciones, a los procedimientos, a los procesos, parametros del sistema y del 
servicio y las plataformas fundamentales. 

AI6.5 Cierre y Documentacion del Cambio 

Siempre que se implantan cambios al sistema, actualizar el sistema asociado y la documentacion de usuario y procedimientos 
correspondientes. Establecer un proceso de revision para garantizar la implantacion completa de los cambios. 
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Directrices Gerenciales 


AI6 Administrar Cambios 


Desde 

Entradas 

POl 

Portafolio de proyectos Tl 

P08 

Acciones de mejora de la calidad 

P09 

Planes de accion para solucion de riesgos 
relacionados con Tl 

P010 

Directrices de administracion de proyecto y plan de 
proyecto detallado 

DS3 

Cambios requeridos 

DS5 

Cambios de seguridad requeridos 

DS8 

Solicitudes de servicio / solicitudes de cambio 

DS9-10 

Solicitudes de cambio (donde y como aplicar la 
solucion) 

DS10 

Registros de problemas 


Salidas 

Hacia 

Descripcion de proceso de cambio 

AI1..AI3 






Reportes de estatus de cambio 

ME1 







Autorizacion de cambio 

AI7 

DS8 

DS10 







Una matriz RACI identifica quien es Responsable, quien debe rendir cuentas (A), quien debe ser Consultado y/o Informado 


Metas y Metricas 


n 


Responder a los requerimientos de 
negocio de acuerdo con la estrategia del 
negocio. 

Reducir los defectos y repeticion de 
trabajos en la entrega de soluciones y 
servicios. 

Garantizar el impacto rmnimo al negocio 
en el evento de una interrupcion o 
cambio de servicio de Tl. 

Definir como se traducen los 
requerimientos de negocio funcionales y 
de control a soluciones automatizadas 
efectivas y eficientes. 

Mantener la integridad de la informacion 
y la infraestructura de procedimiento. 


Mide 


• # de interrupciones o errores de datos 
provocados por especificaciones 
inexactas o evaluacion incompleta de 
impacto 


(A 

ra 

u 

*— 

■m 

■<D 

2 



Procesos 


Actividades 


• Realizar cambios autorizados a la 


• Definir y comunicar los procedimientos de 


infraestructura y aplicaciones de Tl. 


cambio incluyendo cambios de 


• Evaluar el impacto de cambios a la 


emergencia y parches) 


infraestructura, aplicaciones y soluciones 


• Evaluar, priorizar y autorizar cambios 


tecnicos de Tl. 



• Programar cambios 

o> 

• Kastrear y reportar estatus de camoio a 


• Rastrear estatus v reoorte de cambios 

O 

o> 

interesados clave. 

Q) 



_Q 

• Minimizar errores debidos a 

z 



IS) 

especificaciones de solicitud incompletas. 

< A 



LU 



LU 




Mide 


Mide 


• Repeticion de trabajo aplicativo causado 


• % de cambios registrados y rastreados 


por especificaciones de cambio 


con herramientas automatizadas 


inadecuadas 



• % de cambios que siguen procesos de 


• Reduccion de tiempo y de esfuerzo 


control de cambio formales 


requeridos para realizar los cambios 


• Proporcion de solicitudes de cambio 


• % de cambios totales que son soluciones 


aceptadas y rechazadas 


de emergencia 



• # de versiones diferentes de cada 


• % de cambios no exitosos a la 


aplicacion de negocios o infraestructura 


infraestructura debida a especificaciones 


en mantenimiento 


de cambio inadecuadas 


• # y tipo de cambios de emergencia a los 


• # de cambios que no se rastrean 


componentes de la infraestructura 


formalmente o no se reportan o no se 


• # y tipo de parches a los componentes de 


duiurizaii 



la infraestructura 


• Solicitudes de cambio pendientes 
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Adquirire Implementor 

■L vf Administrar Cambios 


Modelo de Madurez 


AI6 Administrar Cambios 

La administration del proceso de Administrar cambios que satisfaga el requerimiento de negocio de Tl de responder a los 
requerimientos de acuerdo con la estrategia del negocio, mientras que se reducen los defectos y repeticiones de trabajos en la 
entrega de soluciones y servicios es: 

0 No Existente cuando 

No existe un proceso definido de administracion de cambio y los cambios se pueden realizar virtualmente sin control. No hay 
conciencia de que el cambio puede causar una interrupcion para Tl y las operaciones del negocio y no hay conciencia de los 
beneficios de la buena administracion de cambio. 

1 Inicial / Ad Hoc cuando 

Se reconoce que los cambios se deben administrar y controlar. Las practicas varfan y es muy probable que se puedan dar cambios sin 
autorizacion. Hay documentacion de cambio pobre o no existente y la documentacion de configuracion es incompleta y no confiable. 
Es posible que ocurran errores junto con interrupciones al ambiente de produccion, provocados por una pobre administracion de 
cambios. 

2 Repetible pero Intuitivo cuando 

Existe un proceso de administracion de cambio informal y ia mayona de los cambios siguen este enfoque; sin embargo, el proceso no 
esta estructurado, es rudimentario y propenso a errores. La exactitud de la documentacion de la configuracion es inconsistente y de 
planeacion limitada y ia evaluacion de impacto se da previa al cambio. 

3 Definido cuando 

Existe un proceso formal definido para la administracion del cambio, que incluye la categorizacion, asignacion de prioridades, 
procedimientos de emergencia, autorizacion del cambio y administracion de liberacion, y va surgiendo el cumpiimiento. Se dan 
soluciones temporales a los probiemas y los procesos a menudo se omiten o se hacen a un lado. Aun pueden ocurrir errores y los 
cambios no autorizados ocurren ocasionalmente. El analisis de impacto de los cambios de Tl en operaciones de negocio se esta 
volviendo formal, para apoyar la implantacion planeada de nuevas aplicaciones y tecnologfas. 

4 Administrado y Medible cuando 

El proceso de administracion de cambio se desarrolla bien y es consistente para todos los cambios, y la gerencia conffa que hay 
excepciones mmimas. El proceso es eficiente y efectivo, pero se basa en manuales de procedimientos y controles considerables para 
garantizar el logro de la calidad. Todos los cambios estan sujetos a una planeacion minuciosa y a la evaluacion del impacto para 
minimizar la probabilidad de tener probiemas de post-produccion. Se da un proceso de aprobacion para cambios. La documentacion 
de administracion de cambios es vigente y correcta, con seguimiento formal a los cambios. La documentacion de configuracion es 
generalmente exacta. La planeacion e implantacion de la administracion de cambios en Tl se van integrando con los cambios en los 
procesos de negocio, para asegurar que se resuelven los asuntos referentes al entrenamiento, cambio organizacional y continuidad 
del negocio. Existe una coordinacion creciente entre la administracion de cambio de Tl y el rediseno del proceso de negocio. Hay un 
proceso consistente para monitorear la calidad y el desempeho del proceso de administracion de cambios. 

5 Optimizado cuando 

El proceso de administracion de cambios se revisa con regularidad y se actualiza para permanecer en Ifnea con las buenas practicas. 
El proceso de revision refleja los resultados del monitoreo. La informacion de la configuracion es computarizada y proporciona un 
control de version. El rastreo del cambio es sofisticado e incluye herramientas para detectar software no autorizado y sin licencia. La 
administracion de cambio de Tl se integra con la administracion de cambio del negocio para garantizar que Tl sea un factor que hace 
posible el incremento de productividad y la creacion de nuevas oportunidades de negocio para la organizacion. 
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Adquirir e Implementar 

Instalar y Acred itar Soluciones y Cambios 


AI7 


Descripcion del Proceso. 


AI7 Instalar y Acreditar Soluciones y Cambios 

Los nuevos sistemas necesitan estar funcionales una vez que su desarrolio se completa. Esto requiere pruebas adecuadas en un 
ambiente dedicado con datos de prueba relevantes, definir la transicion e instrucciones de migracion, planear la liberacion y la 
transicion en sf al ambiente de produccion, y revisar la post-implantacion. Esto garantiza que los sistemas operativos esten en Irnea 
con las expectativas convenidas y con los resultados. 


Planear y 

Organizar 

1 

Adquirir e 
Implementar 


Entregary Dar 
Soporte 

1 

Monitorear y 

Evaluar 




Instalar y acreditar soluciones y cambios 


Que satisface el requerimiento del negocio de Tl para 


Contar con sistemas nuevos o modificados que trabajen sin problemas importantes despues de la instalacion 


Enfocandose en 


Probar que las soluciones de aplicaciones e infraestructura son apropiadas para el proposito deseado y esten 
libres de errores, y planear las liberaciones a produccion 

Se logra con 

• El establecimiento de una metodologfa de prueba 

• Realizar la planeacion de la liberacion (release) 

• Evaluar y aprobar los resultados de las pruebas por parte de la gerencia del negocio 

• Ejecutar revisiones posteriores a la implantacion 

Y se mide con 

• Tiempo perdido de la aplicacion o problemas de datos provocados por pruebas inadecuadas 

• Porcentaje de sistemas que satisfacen los beneficios esperados, medidos en el proceso 
posterior a la implantacion 

• Porcentaje de proyectos con plan de prueba documentado y aprobado 
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Adquirir e Implementar 

Instalar y Acreditar Soluciones y Cambios 


Objetivos de Control 

AI7 Instalar y Acreditar Soluciones y Cambios 

AI7.1 Entrenamiento 

Entrenar al personal de los departamentos de usuario afectados y al grupo de operaciones de la funcion de Tl de acuerdo con el plan 
definido de entrenamiento e implantacion y a los materiales asociados, como parte de cada proyecto de sistemas de la informacion 
de desarrollo, implementacion o modificacion. 

AI7.2 Plan de Prueba 

Establecer un plan de pruebas basado en los estandares de la organizacion que define roles, responsabilidades, y criterios de entrada 
y salida. Asegurar que el plan esta aprobado por las partes relevantes. 

AI7.3 Plan de Implantacion 

Establecer un plan de implantacion y respaldo y vuelta atras. Obtener aprobacion de las partes relevantes. 

AI7.4 Ambiente de Prueba 

Definir y establecer un entorno seguro de pruebas representative del entorno de operaciones planeado relativo a seguridad, controles 
internos, practicas operativos, calidad de los datos y requerimientos de privacidad, y cargas de trabajo. 

AI7.5 Conversion de Sistemas y Datos 

Plan de conversion de datos y migracion de infraestructuras como parte de los metodos de desarrollo de la organizacion, incluyendo 
pistas de auditoria, respaldo y vuelta atras. 

AI7.6 Pruebas de Cambios 

Pruebas de cambios independientemente en acuerdo con los planes de pruebas definidos antes de la migracion al entorno de 
operaciones. Asegurar que el plan considera la seguridad y el desempefio. 

AI7.7 Prueba de Aceptacion Final. 

Asegurar que el dueiio de proceso de negocio y los interesados de Tl evaluan los resultados de los procesos de pruebas como 
determina el plan de pruebas. Remediar los errores significativos identificados en el proceso de pruebas, habiendo completado el 
conjunto de pruebas identificadas en el plan de pruebas y cualquier prueba de regresion necesaria. Siguiendo la evaluacion, 
aprobacion promocion a produccion. 

AI7.8 Promocion a Produccion 

Seguimiento a pruebas, controlar la entrega de los sistemas cambiados a operaciones, manteniendolo en Ifnea con el plan de 
implantacion. Obtener la aprobacion de los interesados clave, tales como usuarios, dueno de sistemas y gerente de operaciones. 
Cuando sea apropiado, ejecutar el sistema en paralelo con el viejo sistema por un tiempo, y comparar el comportamiento y los 
resultados. 

AI7.9 Revision Posterior a la Implantacion 

Establecer procedimientos en Ifnea con los estandares de gestion de cambios organizacionales para requerir una revision posterior a 
la implantacion como conjunto de salida en el plan de implementacion. 
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Adquirir e Implementar 

Instalar y Acred itar Soluciones y Cambios 


AI7 


Directrices Gerenciales 

AI7 Instalar y Acreditar Soluciones y Cambios 


Desde 

Entradas II 

P03 

Estandares de tecnologia 

P04 

Duenos de sistema documentado 

P08 

Estandares de desarrollo 

P010 

Directrices de administracion de proyecto y plan de 
proyecto detallado 

AI3 

Sistema configurado a ser probado/instalado 

AI4 

Manuales de usuario, operativos, de soporte, 
tecnicos y de administracion 

AI5 

Adquisicion de productos 

AI6 

Autorizacion de cambio 




Salidas 

Hacia 


Componentes de configuracion 
liberados 

DS8 

DS9 






Errores conocidos y aceptados 

AI4 







Liberacion a produccion 

DS13 







Liberacion de software y plan de 
distribucion 

DS13 







Revision posterior a la 
implantacion 

P02 

P05 

P010 





Monitoreo de control interno 

ME2 








Matriz RACI 


Funciones 


Actividades 



Construiry revisar planes de investigacion 



C 

A 

1 

C 

C 

R 


C 

C 

Definir y revisar una estrategia de prueba (criterio de entrada y salida) y una metodologia 
de plan de prueba operacional 



C 

A 

C 

C 

c 

R 


C 

c 

Construiry mantenerun repositorio de requerimientos de negocio y tecnicos ycasos de 
prueba para sistemas acreditados 




A 




R 




Ejecutar la conversion del sistema y las pruebas de integracion en ambiente de prueba 



1 

1 

R 

c 

c 

fi/R 


1 

c 

Establecer ambiente de prueba y conducir pruebas de aceptacion finales 



1 

1 

R 

A 

c 

VR 


1 

c 

Recomendar la liberacion a produccion con base en los criterios de acreditacion 

convenidos 



1 

R 

A 

R 

c 

R 


1 

c 


Una matriz RACI identifica quien es Responsable, quien debe rendir cuentas (A), quien debe ser Consultado y/o Informado 


Metas y Metricas 


' Garantizar que las transacciones 
automatizadas de negocio y los intercambios 
de informacion sean confiables. 

' Reducir los defectos y revisiones de trabajo en 
la entrega de soluciones y servicios. 

' Responder a los requerimientos del negocio de 
acuerdo con la estrategia de negocio. 

* Integrar las aplicaciones y soluciones de 
tecnologia de forma transpa rente a los 
procesos de negocio. 

' Garantizar el uso y desempefio apropiado de 
las aplicaciones y soluciones de tecnologia. 

' Garantizar que los servicios y la infraestructura 
de Tl pueden resistir apropiadamente y 
recuperarse de fa I las por errores, ataques 
rieliherarios n desagtres. 

Mide 


Procesos 


Verificar y confirmar que las aplicaciones y 
soluciones de tecnologia se ajustan al 
proposito deseado 

Liberar y distribuir apropiadamente las 
aplicaciones aprobadas y las soluciones de 
tecnologia. 

Preparar a los usuarios y operadores del 
negocio para el uso de aplicaciones y 
soluciones de tecnologia. 

Garantizar que las nuevas aplicaciones de 
negocio y los cambios a las aplicaciones 
existentes esten libres de error. 


"%<=» 


Actividades 


Establecer una metodologia de prueba que 
garantice pruebas de aceptacion suficientes 
antes de liberar 

Rastrear cambios a todos los componentes 
de la configuracion 
Realizarla planeacion de la liberacion 
Ejecutar y aprobar los resultados de las 
pruebas por parte de la administracion del 
negocio 


Mide 


%<? 


Mide 



• % de interesados satisfechos con la 


• # de errores encontrados durante auditorias 


• Grado de involucramiento del interesado en 


integridad de los datos de los nuevos 


internas o externas con respecto al proceso 


el proceso de instalacion y acreditacion 


sistemas 


de instalacion y acreditacion 


• % de proyectos con plan de prueba 


• % de sistemas que satisfacen los beneficios 


• Repeticion del trabajo despues de la 


documentado y aprobado 


esperados tal como se midieron en el 


implantacion debida a las pruebas 


• # de lecciones aprendidas de la revision 


proceso posterior a la implantacion 


inadecuadas de aceptacion. 


posterior a la implantacion 

ro 

• 


• Llamadas de usuarios servicio de usuarios 


• % de errores encontrados durante la revision 

"l— 



debidas a entrenamiento inadecuado 


de aseguramiento de calidad en las 

'Q) 



• Tiempo perdido de aplicacion o reparaciones 


funciones de instalacion y acreditacion. 



de datos provocadas por pruebas 


• # de cambios sin la autorizaciones 




inadecuadas 


requeridas de la gerencia antes de la 
implantacion 
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Adquirir e Implementar 

Instalar y Acreditar Soluciones y Cambios 


Modelo de Madurez 

AI7 Instalar y Acreditar Soluciones y Cambios 

La administration del proceso de Instalar y acreditar soluciones y cambios que satisfagan el requerimiento de negocio de Tl de 
implementar sistemas nuevos o modificados que funcionen sin mayores problemas despues de su instaiacion es: 

0 No Existente cuando 

Hay una ausencia completa de procesos formales de instaiacion o acreditacion y ni la gerencia senior ni el personal de Tl reconocen 
la necesidad de verificar que las soluciones se ajustan para el proposito deseado. 

1 Inicial / Ad Hoc cuando 

Existe la percepcion de la necesidad de verificar y confirmar que las soluciones implantadas sirven para el proposito esperado. Las 
pruebas se realizan para algunos proyectos, pero la iniciativa de pruebas se deja a los equipos de proyectos particulares y los 
enfoques que se toman varfan. La acreditacion formal y la autorizacion son raras o no existentes. 

2 Repetible pero Intuitivo cuando 

Existe cierta consistencia entre los enfoques de prueba y acreditacion, pero por lo regular no se basan en ninguna metodologfa. Los 
equipos individuales de desarrollo deciden normalmente el enfoque de prueba y casi siempre hay ausencia de pruebas de 
integracion. Hay un proceso de aprobacion informal. 

3 Definido cuando 

Se cuenta con una metodologfa formal en relacion con la instaiacion, migracion, conversion y aceptacion. Los procesos de Tl para 
instaiacion y acreditacion estan integrados dentro del ciclo de vida del sistema y estan automatizados hasta cierto punto. El 
entrenamiento, pruebas y transicion y acreditacion a produccion tienen muy probablemente variaciones respecto al proceso definido, 
con base en las decisiones individuales. La calidad de los sistemas que pasan a produccion es inconsistente, y los nuevos sistemas a 
menudo generan un nivel significativo de problemas posteriores a la implantacion. 

4 Administrado y Medible cuando 

Los procedimientos son formales y se desarrollan para ser organizados y practicos con ambientes de prueba definidos y con 
procedimientos de acreditacion. En la practica, todos los cambios mayores de sistemas siguen este enfoque formal. La evaluacion de 
la satisfaccion a los requerimientos del usuario es estandar y medible, y produce mediciones que la gerencia puede revisar y analizar 
de forma efectiva. La calidad de los sistemas que entran en produccion es satisfactoria para la gerencia, aun con niveles razonables 
de problemas posteriores a la implantacion. La automatizacion del proceso es ad hoc y depende del proyecto. Es posible que la 
gerencia este satisfecha con el nivel actual de eficiencia a pesar de la ausencia de una evaluacion posterior a la implantacion. El 
sistema de prueba refleja adecuadamente el ambiente de produccion. La prueba de stress para los nuevos sistemas y la prueba de 
regresion para sistemas existentes se aplican para proyectos mayores. 

5 Optimizado cuando 

Los procesos de instaiacion y acreditacion se han refinado a un nivel de buena practica, con base en los resultados de mejora 
continua y refinamiento. Los procesos de Tl para la instaiacion y acreditacion estan totalmente integrados dentro del ciclo de vida del 
sistema y se automatizan cuando es apropiado, arrojando el estatus mas eficiente de entrenamiento, pruebas y transicion a 
produccion para los nuevos sistemas. Los ambientes de prueba bien desarrollados, los registros de problemas y los procesos de 
resolucion de fallas aseguran la transicion eficiente y efectiva al ambiente de produccion. La acreditacion toma lugar regularmente sin 
repeticion de trabajos, y los problemas posteriores a la implantacion se limitan normalmente a correcciones menores. Las revisiones 
posteriores a la implantacion son estandar, y las lecciones aprendidas se canalizan nuevamente hacia el proceso para asegurar el 
mejoramiento continuo de la calidad. Las pruebas de stress para los nuevos sistemas y las pruebas de regresion para sistemas 
modificados se aplican en forma consistente. 
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Entregar y Dar Soporte 

DS1 Definir y administrar los niveles de servicio 

DS2 Administrar los servicios de terceros 

DS3 Administrar el desempeno y la capacidad 

DS4 Garantizar la continuidad del servicio 

DS5 Garantizar la seguridad de los sistemas 

DS6 Identificar y asignar costos 

DS7 Educar y entrenar a los usuarios 

DS8 Administrar la mesa de servicio y los incidentes 

DS9 Administrar ia configuracion 

DS10 Administrar los problemas 

DS11 Administrar los datos 

DS12 Administrar el ambiente ffsico 

DS13 Administrar ias operaciones 



Entregar y Dar Soporte 

Definir y Administrar los Niveles de Servicio 


DS1 


Descripcion del Proceso. 


DS1 Definir y Administrar los Niveles de Servicio 


Contar con una definicion documentada y un acuerdo de servicios de Tl y de niveles de servicio, hace posible una comunicacion 
efectiva entre la gerencia de Tl y los clientes de negocio respecto de los servicios requeridos. Este proceso tambien incluye el 
monitoreo y la notificacion oportuna a los Interesados (Stakeholders) sobre el cumplimiento de los niveles de servicio. Este proceso 
permite la alineacion entre los servicios de Tl y los requerimientos de negocio relacionados. 



Control sobre el proceso Tl de 


Definir y manejar niveles de servicio 

Que satisface el requerimiento del negocio de Tl para 


Planeary 

Organizar 

Adquirire 

Implementar 

Entregar y 
Dar Soporte 

Monitoreary 

Evaluar 


Asegurar la alineacion de los servicios claves de Tl con la estrategia del negocio 


Enfocandose en 


La identificacion de requerimientos de servicio, el acuerdo de niveles de servicio y el monitoreo del cumplimiento 
de los niveles de servicio 


Se logra con 

• La formalizacion de acuerdos internos y externos en Ifnea con los requerimientos y las capacidades 
de entrega 

• La notificacion del cumplimiento de los niveles de servicio (reportes y reuniones) 

• La identificacion y comunicacion de requerimientos de servicios actualizados y nuevos para 
planeacion estrategica 

Y se mide con 


• El porcentaje de Interesados satisfechos de que la entrega del servicio cumple con los niveles 
previamente acordados. 

• El numero de servicios entregados que no estan en el catalogo 

• El numero de reuniones formales de revision del Acuerdo de Niveles de Servicio (SLA) con las 
personas de negocio por afio 
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DS1 


Entregar y Dar Soporte 

Definir y Administrar los Niveles de Servicio 


Objetivos de Control 

DS1 Definir y Administrar los Niveles de Servicio 

DSl.l Marco de Trabajo de la Administracion de los Niveles de Servicio 

Definir un marco de trabajo que brinde un proceso formal de administracion de niveles de servicio entre el cliente y el prestador de 
servicio. El marco de trabajo mantiene una alineacion continua con los requerimientos y las prioridades de negocio y facilita el 
entendimiento comun entre el cliente y el(los) prestador(es) de servicio. El marco de trabajo incluye procesos para la creacion de 
requerimientos de servicio, definiciones de servicio, acuerdos de niveles de servicio (SLAs), acuerdos de niveles de operacion (OLAs) y 
las fuentes de financiamiento. Estos atributos estan organizados en un catalogo de servicios. El marco de trabajo define la estructura 
organizacional para la administracion del nivel de servicio, incluyendo los roles, tareas y responsabilidades de los proveedores 
externos e internos y de los clientes. 

DS1.2 Definicion de Servicios 

Definiciones base de los servicios de Tl sobre las caracterfsticas del servicio y los requerimientos de negocio, organizados y 
almacenados de manera centralizada por medio de la implantacion de un enfoque de catalogo/portafolio de servicios. 

DS1.3 Acuerdos de Niveles de Servicio 

Definir y acordar convenios de niveles de servicio para todos los procesos criticos de Tl con base en los requerimientos del cliente y 
las capacidades en Tl. Esto incluye los compromisos del cliente, los requerimientos de soporte para el servicio, metricas cualitativas y 
cuantitativas para la medicion del servicio firmado por los interesados, en caso de aplicar, los arreglos comerciales y de 
financiamiento, y los roles y responsabilidades, incluyendo la revision del SLA. Los puntos a considerar son disponibilidad, 
confiabilidad, desempeno, capacidad de crecimiento, niveles de soporte, planeacion de continuidad, seguridad y restricciones de 
demanda. 

DS1.4 Acuerdos de Niveles de Operacion 

Asegurar que los acuerdos de niveles de operacion expliquen como seran entregados tecnicamente los servicios para soportar el (los) 
SLA(s) de manera optima. Los OLAs especifican los procesos teen icos en terminos entendibles para el proveedory pueden soportar 
diversos SLAs. 

DS1.5 Monitoreo y Reporte del Cumplimento de los Niveles de Servicio 

Monitorear continuamente los criterios de desempeno especificados para el nivel de servicio. Los reportes sobre el cumplimiento de 
los niveles de servicio deben emitirse en un formato que sea entendible para los interesados. Las estadisticas de monitoreo son 
analizadas para identificar tendencias positivas y negativas tanto de servicios individuales como de los servicios en conjunto. 

DS1.6 Revision de los Acuerdos de Niveles de Servicio y de los Contratos 

Revisar regularmente con los proveedores internos y externos los acuerdos de niveles de servicio y los contratos de apoyo, para 
asegurar que son efectivos, que estan actualizados y que se han tornado en cuenta los cambios en requerimientos. 
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Entregar y Dar Soporte 

Definir y Administrar los Niveles de Servicio 


DS1 


Directrices Gerenciales 

DS1 Definir y Administrar los Niveles de Servicio 


Desde 

Entradas I 

P01 

Planes de Tl tacticos y estrategicos, portafolio de servicios de 

Tl 

P02 

Clasificaciones de datos asignadas 

P05 

Portafolio de servicios de Tl actualizado 

AI2 

Planes iniciales de SLAs 

AI3 

Planes iniciales de OLAs 

DS4 

Requerimientos de servicio en caso de desastre incluyendo 
roles y responsabilidades 

ME1 

Entrada de desempeno hacia la planeacion de Tl 


Salidas 

Hacia 







Reporte de revision de contrato 

DS2 







Reportes de desempeno de los 
procesos 

ME1 







Requerimientos de servicio nuevos/ 
actualizados 

P01 







SLAs 

All 

DS2 

DS3 

DS4 

DS6 

DS8 

DS13 

OLAs 

DS4 

DS5 

DS6 

DS7 

DS8 

DS11 

DS13 

Portafolio de servicios actualizado 

P01 








Matriz RACI 


Funciones 


Actividades 



Crear un marco de trabajo para los servicios de Tl 



C 

A 

C 

C 

1 

C 

C 

1 

c 

R 

Construir un catalogo de servicios de Tl 



1 

A 

C 

C 

1 

c 

C 

1 

1 

R 

Definir los convenios de niveles de servicio (SLAs) para los sen/icios crfticos de Tl 


1 

1 

C 

C 

R 

1 

R 

R 

C 

c 

A/R 

Definir los convenios de niveles de operacion (OLAs) para soportar los SLAs 




1 

C 

R 

1 

R 

R 

c 

c 

A/R 

Monitoreary reportar el desempeno del servicio de punta a punta 




1 

1 

R 


1 

1 


1 

A/R 

Revisar los S As y los contratos de apoyo 


1 


1 

C 

R 


R 

R 


c 

A/R 

Revisary actualizar el catalogo de servicios de Tl 



1 

A 

C 

C 

1 

C 

C 

1 

1 

R 

Crear un plan de mejora de servicios 



1 

A 

1 

R 

1 

R 

C 

c 

1 

R 


Una matriz RACI identifica quien es Responsable, quien debe rendir cuentas (A), quien debe ser Consultado y/o Informado 


Metas y Metricas 


* Asegurar la satisfaccion de los usuarios 
finales con ofertas de servicio y niveles d€ 
servicio. 

' Responder a los requerimientos de 
negocio alineados con la estrategia de 
negocio. 

* Asegurar transparencia y entendimiento 
de los costos, beneficios, estrategia, 
polfticas y niveles de servicio de Tl. 


Mide 


* % de interesados del negocio satisfechos 
de que los servicios entregados cumplen 
con los niveles de servicio acordados. 

* % de usuarios satisfechos de que los 
servicios entregados cumplen con los 
niveles de servicio acordados. 


Procesos 


Establecer un entendimiento comun de 
los niveles de servicio requeridos. 
Formalizar y monitorear los convenios de 
niveles de servicio y los criterios de 
desempeno. 

Alinear los servicios entregados con los 
niveles de servicio acordados. 

Crear un catalogo de servicios 
actualizado alineado con las metas del 
negocio. 


% 


Mide 


% de servicios entregados que no estan 
en el catalogo. 

% de servicios que cumplen con los 
niveles de servicio. 

% de niveles de servicio que se miden. 


Actividades 


Definicion de servicios. 

Formalizacion de convenios internos y 
externos alineados con los 
requerimientos y las capacidades de 
entrega. 

Notificacion del cumplimiento de los 
niveles de servicio (reportes y reuniones). 
Asegurar que los reportes estan hechos a 
la medida de la audiencia que los recibe. 
• Retroalimentar requerimientos de 
servicio, nuevos y actualizados, al 
proceso de planeacion estrategica. 


% 


Mide 


Numero de reuniones formales de 
revision de los SLAs con los responsables 
de negocio por ano. 

% de niveles de servicio reportados. 

% de niveles de servicio reportados de 
forma automatizada. 

• Numero de dfas de trabajo transcurridos 
para ajustar un nivel de servicio despues 
del acuerdo con el cliente. 
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DS1 


Entregar y Dar Soporte 

Definir y Administrar los Niveles de Servicio 


Modelo DE Madurez 

DS1 Definir y Administrar los Niveles de Servicio 

La administracion del proceso de Definir y administrar niveles de servicio que satisfacen el requerimiento de negocio para Tl de 
asegurar la aiineacion de servicios claves de Tl con la estrategia de negocio es: 

0 No Existente cuando 

La gerencia no reconoce la necesidad de un proceso para definir los niveles de servicio. La responsabilidad y la rendicion de cuentas 
sobre el monitoreo no esta asignada. 

1 Inicial / Ad Hoc cuando 

Hay conciencia de la necesidad de administrar los niveles de servicio, pero el proceso es informal y reactivo. La responsabilidad y la 
rendicion de cuentas sobre para la definicion y la administracion de servicios no esta definida. Si existen las medidas para medir el 
desempefio son solamente cualitativas con metas definidas de forma imprecisa. La notificacion es informal, infrecuente e 
inconsistente. 

2 Repetible pero Intuitivo cuando 

Los niveles de servicio estan acordados pero son informales y no estan revisados. Los reportes de los niveles de servicio estan 
incompletos y pueden ser irrelevantes o enganosos para los clientes. Los reportes de los niveles de servicio dependen, en forma 
individual, de las habilidades y la iniciativa de los administradores. Esta designado un coordinador de niveles de servicio con 
responsabilidades definidas, pero con autoridad limitada. Si existe un proceso para el cumplimiento de los acuerdos de niveles de 
servicio es voluntario y no esta implementado. 

3 Definido cuando 

Las responsabilidades estan bien definidas pero con autoridad discrecional. El proceso de desarrollo del acuerdo de niveles de 
servicio esta en orden y cuenta con puntos de control para revalorar los niveles de servicio y la satisfaccion de cliente. Los servicios y 
los niveles de servicio estan definidos, documentados y se ha acordado utilizar un proceso estandar. Las deficiencias en los niveles 
de servicio estan identificadas pero los procedimientos para resolver las deficiencias son informales. Hay un claro vinculo entre el 
cumplimiento del nivei de servicio esperado y el presupuesto contemplado. Los niveles de servicio estan acordados pero pueden no 
responder a las necesidades del negocio. 

4 Administrado y Medible cuando 

Aumenta la definicion de los niveles de servicio en la fase de definicion de requerimientos del sistema y se incorporan en el disefio de 
la aplicacion y de los ambientes de operacion. La satisfaccion del cliente es medida y valorada de forma rutinaria. Las medidas de 
desempefio reflejan las necesidades del cliente, en lugar de las metas de Tl. Las medidas para la valoracion de los niveles de servicio 
se vuelven estandarizadas y reflejan los estandares de la industria. Los criterios para la definicion de los niveles de servicio estan 
basados en la criticidad del negocio e incluyen consideraciones de disponibiiidad, confiabilidad, desempefio, capacidad de 
crecimiento, soporte al usuario, planeacion de continuidad y seguridad. Cuando no se cumplen los niveles de servicio, se llevan a 
cabos analisis causa-rafz de manera rutinaria. El proceso de reporte para monitorear los niveles de servicio se vuelve cada vez mas 
automatizado. Los riesgos operativos y financieros asociados con la falta de cumplimiento de los niveles de servicio, estan definidos y 
se entienden claramente. Se implementa y mantiene un sistema formal de medicion de los KPIs y los KGIs. 

5 Optimizado cuando 

Los niveles de servicio son continuamente reevaluados para asegurar la aiineacion de Tl y los objetivos del negocio, mientras se toma 
ventaja de la tecnologfa incluyendo le relacion costo-beneficio. Todos los procesos de administracion de niveles de servicio estan 
sujetos a mejora continua. Los niveles de satisfaccion del cliente son administrados y monitoreados de manera continua. Los niveles 
de servicio esperados reflejan metas estrategicas de las unidades de negocio y son evaluadas contra las normas de la industria. La 
administracion de Tl tiene los recursos y la asignacion de responsabilidades necesarias para cumplir con los objetivos de niveles de 
servicio y la compensacion esta estructurada para brindar incentivos por cumplir con dichos objetivos. La alta gerencia monitorea los 
KPIs y los KGIs como parte de un proceso de mejora continua. 
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Entregar y Dar Soporte 

Administrar los Servicios de Terceros 


DS2 


Descripcion del Proceso. 


DS2 Administrar los Servicios de Terceros 


La necesidad de asegurar que los servicios provistos por terceros cumplan con los requerimientos del negocio, requiere de un 
proceso efectivo de administracion de terceros. Este proceso se logra por medio de una clara definicion de roles, responsabilidades y 
expectativas en los acuerdos con los terceros, asf como con la revision y monitoreo de la efectividad y cumplimiento de dichos 
acuerdos. Una efectiva administracion de los servicios de terceros minimiza los riesgos del negocio asociados con proveedores que 
no se desempenan de forma adecuada. 



Control sobre el proceso Tl de 


Administrar servicios de terceros 


Planeary 

Organizar 


Adquirire 

Implementar 

1 

Entregar y 

Dar Soporte 


Monitoreary 

Evaluar 

1 


Que satisface el requerimiento del negocio de Tl para 


Brindar servicios satisfactorios de terceros con transparencia acerca de los beneficios, riesgos y costos 


Enfocandose en 


El establecimiento de relaciones y responsabilidades bilaterales con proveedores calificados de servicios 
tercerizados y el monitoreo de la prestacion del servicio para verificar y asegurar la adherencia a los convenios 

Se logra con 

• La identificacion y categorizacion de los servicios del proveedor 

• La identificacion y mitigacion de riesgos del proveedor 

• El monitoreo y la medicion del desempefio del proveedor 

Y se mide con 

• El numero de quejas de los usuarios debidas a los servicios contratados 

• El porcentaje de los principales proveedores que cumplen claramente los requerimientos 
definidos y los niveles de servicio 

• El porcentaje de los principales proveedores sujetos a monitoreo 
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DS2 


Entregar y Dar Soporte 

Administrar los Servicios de Terceros 


Objetivos de Control 

DS2 Administrar los Servicios de Terceros 

DS2.1 Identificacion de Todas las Relaciones con Proveedores 

Identificar todos los servicios de los proveedores, y categorizar los de acuerdo al tipo de proveedor, significado y criticidad. Mantener 
documentacion formal de relaciones tecnicas y organizacionales que cubren los roles y responsabilidades, metas, entregables 
esperados, y credenciales de los representantes de estos proveedores. 

DS2.2 Gestion de Relaciones con Proveedores 

Formalizar el proceso de gestion de relaciones con proveedores para cada proveedor. Los duefios de las relaciones deben enlazar las 
cuestiones del cliente y proveedor y asegurar la calidad de las relaciones basadas en la confianza y transparencia. (Ej.: a traves de 
SLAs). 

DS2.3 Administracion de Riesgos del Proveedor 

Identificar y mitigar los riesgos relacionados con la habilidad de los proveedores para mantener un efectivo servicio de entrega de 
forma segura y eficiente sobre una base de continuidad. Asegurar que los contratos estan de acuerdo con los requerimientos legales 
y regulatorios de los estandares universales del negocio. La administracion del riesgo debe considerar ademas acuerdos de 
confidencialidad (NDAs), contratos de garantfa, viabilidad de la continuidad del proveedor, conformidad con los requerimientos de 
seguridad, proveedores alternativos, penalizaciones e incentivos, etc. 

DS2.4 Monitoreo del Desempeno del Proveedor 

Establecer un proceso para monitorear la prestacion del servicio para asegurar que el proveedor esta cumpliendo con los 
requerimientos del negocio actuales y que se adhiere continuamente a los acuerdos del contrato y a SLAs, y que el desempeno es 
competitivo con proveedores alternativos y las condiciones del mercado. 
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Directrices Gerenciales 

DS2 Administrar los Servicios de Terceros 


Desde 

Entradas 

P01 

Estrategia de contratacion de Tl 

P08 

Estandares de adquisicion 

AI5 

Arreglos contractuales, requerimientos de 
administracion de relaciones con terceros 

DS1 

SLAs, reporte de revision de contrato 

DS4 

Requerimientos de servicio contra desastre incluyendo 
roles y responsabilidades 


Salidas 

Hacia 


Reportes de desempeno de los 
procesos 

ME1 







Catalogo del proveedor 

AI5 







Riesgos del proveedor 

P09 









* Asegurar una relacion de mutua 
satisfaction con los terceros. 

* Asegurar la satisfaccion de los usuarios 
finales con las ofertas de servicio y los 
niveles de servicio. 

* Asegurar transparencia y entendimiento 
de los costos, beneficios, estrategia, 
polfticas y niveles de servicio de Tl. 


Mide 


• # de quejas de los usuarios debidas a los 
servicios contratados 

• % del gasto dedicado a 
aprovisionamiento competitive 


(A 

ro 

_u 

■S3 

2 



Procesos 


Actividades 


• Establecer relaciones y responsabilidades 
bilaterales con proveedores calificados de 
servicios tercerizados. 

• Monitorear la prestacion del servicio y 
verificar el apego a los acuerdos. 


• Identificacion y categorizacion de los 
servicios del proveedor 

• Identificacion y mitigacion de riesgos del 
proveedor 

• Monitoreo y medicion del desempeno del 

Establece 

• Asegurar que el proveedor cumple con los* 
estandares internos y externos. 

• Mantener el deseo del proveedor de 
continuar con la relacion. 

Establece 

proveedor 



Mide 


Mide 


• % de los principales proveedores que 
cumplen claramente los requerimientos 
definidos y los niveles de servicio 


• % de los principales proveedores sujetos 
a una clara definicion de requerimientos y 
niveles de servicio 


• # de controversias formales con el 
proveedor 


• % de los principales proveedores sujetos 
a monitoreo 


• % de facturas del proveedor en 
controversia 


• Nivel de satisfaccion del negocio con 
comunicacion efectiva por parte del 
proveedor 





• Nivel de satisfaccion del proveedor con 
comunicacion efectiva por parte del 
negocio 





• # de incidentes significativos por 
incumplimiento del proveedor en un 
periodo de tiempo 


© 2007 IT Governance Institute. All rights reserved, www.itgi.org 


107 













DS2 


Entregar y Dar Soporte 

Administrar los Servicios de Terceros 


Modelo DE Madurez 

DS2 Administrar los Servicios de Terceros 

La administracion del proceso de Administrar los servicios de terceros que satisfagan los requerimientos de Tl del negocio de brindar 
servicios de terceros satisfactorios siendo transparentes respecto a los beneficios, costos y riesgos es: 

0 No Existente cuando 

Las responsabilidades y la rendicion de cuentas no estan definidas. No hay politicas y procedimientos formales respecto a la 
contratacion con terceros. Los servicios de terceros no son ni aprobados ni revisados por la gerencia. No hay actividades de medicion 
y los terceros no reportan. A falta de una obligacion contractual de reportar, la alta gerencia no esta al tanto de la calidad del servicio 
prestado. 

1 Inicial / Ad Hoc cuando 

La gerencia esta conciente de la importancia de la necesidad de tener polfticas y procedimientos documentados para la 
administracion de los servicios de terceros, incluyendo la firma de contratos. No hay condiciones estandarizadas para los convenios 
con los prestadores de servicios. La medicion de los servicios prestados es informal y reactiva. Las practicas dependen de la 
experiencia de los individuos y del proveedor (por ejemplo, por demanda). 

2 Repetible pero Intuitivo cuando 

El proceso de supervision de los proveedores de servicios de terceros, de los riesgos asociados y de la prestacion de servicios es 
informal. Se utiliza un contrato pro-forma con terminos y condiciones estandares del proveedor (por ejemplo, la descripcion de 
servicios que se prestaran). Los reportes sobre los servicios existen, pero no apoyan los objetivos del negocio. 

3 Definido cuando 

Hay procedimientos bien documentados para controlar los servicios de terceros con procesos claros para tratar y negociar con los 
proveedores. Cuando se hace un acuerdo de prestacion de servicios, la relacion con el tercero es meramente contractual. La 
naturaleza de los servicios a prestar se detalla en el contrato e incluye requerimientos legales, operativos y de control. Se asigna ia 
responsabilidad de supervisar los servicios de terceros. Los terminos contractuales se basan en formatos estandarizados. El riesgo 
del negocio asociado con los servicios del tercero esta valorado y reportado. 

4 Administrado y Medible cuando 

Se establecen criterios formales y estandarizados para definir los terminos de un acuerdo, incluyendo alcance del trabajo, 
servicios/entregables a suministrar, suposiciones, cronograma, costos, acuerdos de facturacion y responsabilidades. Se asignan las 
responsabilidades para la administracion del contrato y del proveedor. Las aptitudes, capacidades y riesgos del proveedor son 
verificadas de forma continua. Los requerimientos del servicio estan definidos y alineados con los objetivos del negocio. Existe un 
proceso para comparar el desempeno contra los terminos contractuales, lo cual proporciona informacion para evaluar los servicios 
actuales y futuros del tercero. Se utilizan modelos de fijacion de precios de transferencia en el proceso de adquisicion. Todas las 
partes involucradas tienen conocimiento de las expectativas del servicio, de los costos y de las etapas. Se acordaron los KPIs y KGIs 
para la supervision del servicio. 

5 Optimizado cuando 

Los contratos firmados con los terceros son revisados de forma periodica en intervalos predefinidos. La responsabilidad de 
administrar a los proveedores y ia calidad de los servicios prestados esta asignada. Se monitorea el cumplimiento de las condiciones 
operativas, legales y de control y se implantan acciones correctivas. El tercero esta sujeto a revisiones periodicas independientes y se 
le retroalimenta sobre su desempeno para mejorar la prestacion del servicio. Las mediciones varfan como respuesta a los cambios en 
las condiciones del negocio. Las mediciones ayudan a la deteccion temprana de probiemas potenciales con los servicios de terceros. 
La notificacion completa y bien definida del cumplimiento de los niveles de servicio, esta asociada con la compensacion del tercero. 
La gerencia ajusta el proceso de adquisicion y monitoreo de servicios de terceros con base en los resultados de los KPIs y KGIs. 
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Entregar y Dar Soporte 

Administrar el Desempeno y la Capacidad 


DS3 


Descripcion del Proceso. 


DS3 Administrar el Desempeno y la Capacidad 

La necesidad de administrar el desempeno y la capacidad de los recursos de Tl requiere de un proceso para revisar periodicamente el 
desempeno actual y la capacidad de los recursos de Tl. Este proceso incluye el pronostico de las necesidades futuras, basadas en los 
requerimientos de carga de trabajo, almacenamiento y contingencias. Este proceso brinda la seguridad de que los recursos de 
informacion que soportan los requerimientos del negocio estan disponibles de manera continua. 




Administrar el desempeno y la capacidad 


Que satisface el requerimiento del negocio de Tl para 


Optimizar el desempeno de la infraestructura, los recursos y las capacidades de Tl en respuesta a las necesidades del 
negocio 


Enfocandose en 

Cumplir con los requerimientos de tiempo de respuesta de los acuerdos de niveles de servicio, minimizando el 
tiempo sin servicio y haciendo mejoras continuas de desempeno y capacidad de Tl a traves del monitoreo y la 
medicion. 

Se logra con 

• La planeacion y la entrega de capacidad y disponibilidad del sistema 

• Monitoreando y reportando el desempeno del sistema 

• Modelando y pronosticando el desempeno del sistema. 

Y se mide con 

• Numero de horas perdidas por usuario por mes, debidas a la falta de planeacion de la 
capacidad 

• Porcentaje de picos donde se excede la meta de utilizacion 

• Porcentaje de SLAs de tiempo de respuesta que no se satisfacen 
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DS3 


Entregar y Dar Soporte 

Administrar el Desempeno y la Capacidad 


Objetivos de Control 

DS3 Administrar el Desempeno y la Capacidad 

DS3.1 Planeacion del Desempeno y la Capacidad 

Establecer un proceso de planeacion para la revision del desempeno y la capacidad de los recursos de Tl, para asegurar la 
disponibilidad de la capacidad y del desempeno, con costos justificables, para procesar las cargas de trabajo acordadas tal como se 
determina en los SLAs. Los planes de capacidad y desempeno deben hacer uso de tecnicas de modelo apropiadas para producir un 
modelo de desempeno, de capacidad y de desempeno de los recursos de Tl, tanto actual como pronosticado. 

DS3.2 Capacidad y Desempeno Actual 

Revisar la capacidad y desempeno actual de los recursos de Tl en intervalos regulares para determinar si existe suficiente capacidad 
y desempeno para prestar los servicios con base en los niveles de servicio acordados. 

DS3.3 Capacidad y Desempeno Futuros 

Llevar a cabo un pronostico de desempeno y capacidad de los recursos de Tl en intervalos regulares para minimizar el riesgo de 
interrupciones del servicio originadas por falta de capacidad o degradacion del desempeno. Identificar tambien el exceso de 
capacidad para una posible redistribucion. Identificar las tendencias de las cargas de trabajo y determinar los pronosticos que seran 
parte de los planes de capacidad y de desempeno. 

DS3.4 Disponibilidad de Recursos de Tl 

Brindar la capacidad y desempeno requeridos tomando en cuenta aspectos como cargas de trabajo normales, contingencias, 
requerimientos de almacenamiento y ciclos de vida de los recursos de TL Deben tomarse medidas cuando el desempeno y la 
capacidad no estan en el nivel requerido, tales como dar prioridad a las tareas, mecanismos de tolerancia de fallas y practicas de 
asignacion de recursos. La gerencia debe garantizar que los planes de contingencia consideran de forma apropiada la disponibilidad, 
capacidad y desempeno de los recursos individuales de TL 

DS3.5 Monitoreo y Reporte 

Monitorear continuamente el desempeno y la capacidad de los recursos de TL La informacion reunida sirve para dos propositos: 

• Mantener y poner a punto el desempeno actual dentro de Tl y atender temas como elasticidad, contingencia, cargas de trabajo 
actuales y proyectadas, planes de almacenamiento y adquisicion de recursos. 

• Para reportar la disponibilidad hacia el negocio del servicio prestado como se requiere en los SLAs. 

Acompanar todos los reportes de excepcion con recomendaciones para acciones correctivas 
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Entregar y Dar Soporte 

Administrar el Desempeno y la Capacidad 


DS3 


Directrices Gerenciales 

DS3 Administrar el Desempeno y la Capacidad 


Salidas 

Hacia 


Information sobre desempeno y capacidad 

P02 

P03 






Plan de desempeno y capacidad 
(requerimientos) 

P05 

All 

AI3 

ME1 




Cambios requeridos 

AI6 







Reportes de desempeno del proceso 

ME1 








Desde 

Entradas I 

AI2 

Especificaciones de disponibilidad, continuidad y de 
recuperation 

AI3 

Requerimientos de monitoreo del sistema 

DS1 

SLAs 



* Responder a los requerimientos del 
negocio de acuerdo con la estrategia del 
negocio. 

* Asegurar que los servicios de Tl esten 
disponibles segun se requieran. 

* Optimizar los recursos, la infraestructura 
y las capacidades de Tl. 


Procesos 


Monitorear y medir la carga en los picos y 
los tiempos de respuesta de la 
transaccion. 

Cumplir los tiempos de respuesta de los 
SLAs. 

Minimizar las fallas en las transacciones. 
Minimizar el tiempo sin servicio. 

Optimizar el uso de recursos de Tl. 


Actividades 


Planear y brindar capacidad y 
disponibilidad del sistema 
Monitoreo y reporte del desempeno del 
sistema 

* Modelo y pronostico del desempeno del 
sistema 


Mide 


■sfo 


Mide 




Mide 



• # de horas por usuario por mes, debidas 


• Carga en los picos y tasas globales de 


• Frecuencia de los pronosticos de 


a la falta de planeacion de la capacidad 


utilizacion 


desempeno y capacidad 


• # de procesos de negocio crfticos no 


• % de picos cuando se excede la 


• % de activos incluidos en las revisiones 


cubiertos por un plan definido de 


utilizacion meta 


de capacidad 


disponibilidad de servicios 


• % de SLAs de tiempo de respuesta que no 


• % de activos monitoreados a traves de 




se han cumplido 


herramientas centralizadas 

u 



• Tasa de falla de transacciones 



2 
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DS3 


Entregar y Dar Soporte 

Administrar el Desempeno y la Capacidad 


Modelo de Madurez 

DS3 Administrar el Desempeno y la Capacidad 

La administracion del proceso de Administrar el desempeno y la capacidad que satisfaga el requerimiento de optimizar el desempeno 
de la infraestructura, /os recursos y las capacidades de Tl, en respuesta a las necesidades de negocio es: 

0 No Existente cuando 

La gerencia no reconoce que los procesos clave del negocio pueden requerir altos niveles de desempeno de Tl o que el total de los 
requerimientos de servicios de Tl del negocio pueden exceder la capacidad. No se Neva cabo un proceso de planeacion de la 
capacidad. 

1 Inicial / Ad Hoc cuando 

Los usuarios, con frecuencia, tienen que llevar acabo soluciones alternas para resolver las limitaciones de desempeno y capacidad. 
Los responsables de los procesos del negocio valoran poco la necesidad de llevar a cabo una planeacion de la capacidad y del 
desempeno. Las acciones para administrar el desempeno y la capacidad son tfpicamente reactivas. El proceso de planeacion de la 
capacidad y el desempeno es informal. El entendimiento sobre la capacidad y el desempeno de Tl, actual y futuro, es limitado 

2 Repetible pero Intuitivo cuando 

Los responsables del negocio y la gerencia de Tl estan concientes del impacto de no administrar el desempeno y la capacidad. Las 
necesidades de desempeno se logran por lo general con base en evaluaciones de sistemas individuales y el conocimiento y soporte 
de equipos de proyecto. Algunas herramientas individuales pueden utilizarse para diagnosticar problemas de desempeno y de 
capacidad, pero la consistencia de los resultados depende de la experiencia de individuos clave. No hay una evaluacion general de la 
capacidad de desempeno de Tl o consideracion sobre situaciones de carga pico y peor-escenario. Los problemas de disponibilidad 
son susceptibles de ocurrir de manera inesperada y aleatoria y toma mucho tiempo diagnosticarlos y corregirlos. Cualquier medicion 
de desempeno se basa primordialmente en las necesidades de Tl y no en las necesidades del cliente. 

3 Definido cuando 

Los requerimientos de desempeno y capacidad estan definidos a lo largo del ciclo de vida del sistema. Hay metricas y requerimientos 
de niveles de servicio bien definidos, que pueden utilizarse para medir el desempeno operacional. Los pronosticos de la capacidad y 
el desempeno se modelan por medio de un proceso definido. Los reportes se generan con estadfsticas de desempeno. Los problemas 
relacionados al desempeno y a la capacidad siguen siendo susceptibles a ocurrir y su resolucion sigue consumiendo tiempo. A pesar 
de los niveles de servicio publicados, los usuarios y los clientes pueden sentirse escepticos acerca de la capacidad del servicio. 

4 Administrado y Medible cuando 

Hay procesos y herramientas disponibles para medir el uso del sistema, el desempeno y la capacidad, y los resultados se comparan 
con metas definidas. Hay informacion actualizada disponible, brindando estadfsticas de desempeno estandarizadas y alertando sobre 
incidentes causados por falta de desempeno o de capacidad. Los problemas de falta de desempeno y de capacidad se enfrentan de 
acuerdo con procedimientos definidos y estandarizados. Se utilizan herramientas automatizadas para monitorear recursos 
especfficos tales como espacios en disco, redes, servidores y compuertas de red. Las estadfsticas de desempeno y capacidad son 
reportadas en terminos de los procesos de negocio, de forma que los usuarios y los clientes comprendan los niveles de servicio de Tl. 
Los usuarios se sienten por lo general satisfechos con la capacidad del servicio actual y pueden solicitar nuevos y mejores niveles de 
disponibilidad. Se han acordado los KGIs y KPIs para medir el desempeno y la capacidad de Tl, pero puede ser que se aplican de 
forma esporadica e inconsistente. 

5 Optimizado cuando 

Los planes de desempeno y capacidad estan completamente sincronizados con las proyecciones de demanda del negocio. La 
infraestructura de Tl y la demanda del negocio estan sujetas a revisiones regulares para asegurar que se logre una capacidad optima 
con el menor costo posible. Las herramientas para monitorear recursos crfticos de Tl han sido estandarizadas y usadas a traves de 
diferentes plataformas y vinculadas a un sistema de administracion de incidentes a lo largo de toda la organizacion. Las herramientas 
de monitoreo detectan y pueden corregir automaticamente problemas relacionados con la capacidad y el desempeno. Se llevan a 
cabo analisis de tendencias, los cuales muestran problemas de desempeno inminentes causados por incrementos en los volumenes 
de negocio, lo que permite planear y evitar problemas inesperados. Las metricas para medir el desempeno y la capacidad de Tl han 
sido bien afinadas dentro de los KGIs y KPIs para todos los procesos de negocio crfticos y se miden de forma regular. La gerencia 
ajusta la planeacion del desempeno y la capacidad siguiendo los analisis de los KGIs y KPIs. 


112 


© 2007 IT Governance Institute. All rights reserved, www.itgi.org 




Entregar y Dar Soporte 

Garantizar la Continuidad del Servicio 


DS4 


Descripcion del Proceso. 


DS4 Garantizar la Continuidad del Servicio 


La necesidad de brindar continuidad en los servicios de Tl requiere desarrollar, mantener y probar planes de continuidad de Tl, 
almacenar respaldos fuera de las instalaciones y entrenar de forma periodica sobre los planes de continuidad. Un proceso efectivo de 
continuidad de servicios, minimiza la probabiiidad y el impacto de interrupciones mayores en los servicios de Tl, sobre funciones y 
procesos claves del negocio. 



Control sobre el proceso Tl de 
Garantizar la continuidad del servicio 

Que satisface el requerimiento del negocio de Tl para 

Asegurar el mihirno impacto al negocio en caso de una interrupcion de servicios de Tl 

Enfocandose en 


Planeary 

Organizar 


Adquirire 

Implementar 

1 

Entregar y 

Dar Soporte 


Monitoreary 

Evaluar 

1 


El desarrollo de resistencia (resilience) en las soluciones automatizadas y desarrollando, manteniendo y probando 
los planes de continuidad de Tl 

Se logra con 

• Desarrollando y manteniendo (mejorando) los planes de contingencia de Tl 

• Con entrenamiento y pruebas de los planes de contingencia de Tl 

• Guardando copias de los planes de contingencia y de los datos fuera de las instalaciones 

Y se mide con 

• Numero de horas perdidas por usuario por mes, debidas a interrupciones no planeadas 

• Numero de procesos criticos de negocio que dependen de Tl, que no estan cubiertos por un 
plan de continuidad 
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Objetivos de Control 

DS4 Garantizar la Continuidad del Servicio 

DS4.1 Marco de Trabajo de Continuidad de Tl 

Desarrollar un marco de trabajo de continuidad de Tl para soportar la continuidad del negocio con un proceso consistente a lo largo 
de toda la organizacion. El objetivo del marco de trabajo es ayudar en la determinacion de la resistencia requerida de la 
infraestructura y de guiar el desarrollo de los planes de recuperacion de desastres y de contingencias. El marco de trabajo debe tomar 
en cuenta la estructura organizacional para administrar la continuidad, la cobertura de roles, las tareas y las responsabilidades de los 
proveedores de servicios internos y externos, su administracion y sus clientes; asf como las reglas y estructuras para documentar, 
probar y ejecutar la recuperacion de desastres y los planes de contingencia de Tl. El plan debe tambien considerar puntos tales como 
la identificacion de recursos cnticos, el monitoreo y reporte de la disponibilidad de recursos cnticos, el procesamiento alternativo y los 
principios de respaldo y recuperacion. 

DS4.2 Planes de Continuidad de Tl 

Desarrollar planes de continuidad de Tl con base en el marco de trabajo, disenado para reducir el impacto de una interrupcion mayor 
de las funciones y los procesos clave del negocio. Los planes deben considerar requerimientos de resistencia, procesamiento 
alternativo, y capacidad de recuperacion de todos los servicios cnticos de TL Tambien deben cubrir los lineamientos de uso, los roles y 
responsabilidades, los procedimientos, los procesos de comunicacion y el enfoque de pruebas. 

DS4.3 Recursos Criticos de Tl 

Centrar la atencion en los puntos determinados como los mas cnticos en el plan de continuidad de Tl, para construir resistencia y 
establecer prioridades en situaciones de recuperacion. Evitar la distraccion de recuperar los puntos menos cnticos y asegurarse de 
que la respuesta y la recuperacion estan alineadas con las necesidades prioritarias del negocio, asegurandose tambien que los 
costos se mantienen a un nivel aceptable y se cumple con los requerimientos regulatorios y contractuales. Considerar los 
requerimientos de resistencia, respuesta y recuperacion para diferentes niveles de prioridad, por ejemplo, de una a cuatro horas, de 
cuatro a 24 horas, mas de 24 horas y para periodos cnticos de operacion del negocio. 

DS4.4 Mantenimiento del Plan de Continuidad de Tl 

Exhortar a la gerencia de Tl a definir y ejecutar procedimientos de control de cambios, para asegurar que el plan de continuidad de Tl 
se mantenga actualizado y que refleje de manera continua los requerimientos actuales del negocio. Es esencial que los cambios en 
los procedimientos y las responsabilidades sean comunicados de forma clara y oportuna. 

DS4.5 Pruebas del Plan de Continuidad de Tl 

Probar el plan de continuidad de Tl de forma regular para asegurar que los sistemas de Tl pueden ser recuperados de forma efectiva, 
que las deficiencias son atendidas y que el plan permanece aplicable. Esto requiere una preparacion cuidadosa, documentacion, 
reporte de los resultados de las pruebas y, de acuerdo con los resultados, la implementacion de un plan de accion. Considerar el 
alcance de las pruebas de recuperacion en aplicaciones individuales, en escenarios de pruebas integrados, en pruebas de punta a 
punta y en pruebas integradas con el proveedor. 

DS4.6 Entrenamiento del Plan de Continuidad de Tl 

Asegurarse de que todos las partes involucradas reciban sesiones de entrenamiento de forma regular respecto a los procesos y sus 
roles y responsabilidades en caso de incidente o desastre. Verificar e incrementar el entrenamiento de acuerdo con los resultados de 
las pruebas de contingencia. 

DS4.7 Distribucion del Plan de Continuidad de Tl 

Determinar que existe una estrategia de distribucion definida y administrada para asegurar que los planes se distribuyan de manera 
apropiada y segura y que esten disponibles entre las partes involucradas y autorizadas cuando y donde se requiera. Se debe prestar 
atencion en hacerlos accesibles bajo cualquier escenario de desastre. 

DS4.8 Recuperacion y Reanudacion de los Servicios de Tl 

Planear las acciones a tomar durante el perfodo en que Tl esta recuperando y reanudando los servicios. Esto puede representar la 
activacion de sitios de respaldo, el inicio de procesamiento alternativo, la comunicacion a clientes y a los interesados, realizar 
procedimientos de reanudacion, etc. Asegurarse de que los responsables del negocio entienden los tiempos de recuperacion de Tl y 
las inversiones necesarias en tecnologfa para soportar las necesidades de recuperacion y reanudacion del negocio. 

DS4.9 Almacenamiento de Respaldos Fuera de las Instalaciones 

Almacenar fuera de las instalaciones todos los medios de respaldo, documentacion y otros recursos de Tl cnticos, necesarios para la 
recuperacion de Tl y para los planes de continuidad del negocio. El contenido de los respaldos a almacenar debe determinarse en 
conjunto entre los responsables de los procesos de negocio y el personal de Tl. La administracion del sitio de almacenamiento 
externo a las instalaciones, debe apegarse a la polftica de clasificacion de datos y a las practicas de almacenamiento de datos de la 
empresa. La gerencia de Tl debe asegurar que los acuerdos con sitios externos sean evaluados periodicamente, al menos una vez por 
aho, respecto al contenido, a la proteccion ambiental y a la seguridad. Asegurarse de la compatibilidad del hardware y del software 
para poder recuperar los datos archivados y periodicamente probar y renovar los datos archivados. 

DS4.10 Revision Post Reanudacion 

Una vez lograda una exitosa reanudacion de las funciones de Tl despues de un desastre, determinar si la gerencia de Tl ha 
establecido procedimientos para valorar lo adecuado del plan y actualizar el plan en consecuencia. 
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Directrices Gerenciales 

DS4 Garantizar la Continuidad del Servicio 


Salidas 

Hacia 


Resultados de las prueba de 
contingencia 

P09 







Criticidad de puntos de configuracion 
de Tl 

DS9 







Plan de almacenamiento de 
respaldos y de proteccion 

DS11 

DS13 






Umbrales de incidente/desastre 

DS8 







Requerimientos de servicios contra 
desastres incluyendo roles y 
responsabilidades 

DS1 

DS2 






Reportes de desempeho de los 
procesos 

ME1 








Desde 

Entradas 

P02 

Clasificaciones de datos asignados 

P09 

Valoracion de riesgo 

AI2 

Especificacion de disponibilidad, continuidad y recuperacion 

AI4 

Manuales, de usuario, tecnicos, operativos, de soporte y de 
administracion 

DS1 

SLAs y OLAs 


Matriz RACI 


Funciones 


Actividades 



Desarrollar un maroo de trabajo de continuidad de Tl 


C 

c 

A 

c 

R 

R 

R 

C 

C 

R 

Realizar un analisis de impacto al negocio y valoracion de riesgo 


C 

c 

C 

c 

A/R 

C 

C 

C 

c 

C 

Desarrollary mantener planes de continuidad de Tl 

1 

c 

c 

C 

1 

A/R 


C 

C 

c 

C 

Identificary categorizar los recursos de Tl con base en los objetivos de recuperacion 




C 


A/R 


C 

1 

c 

1 

Definiry ejecutar procedimientos de control de cambios para asegurar que el plan de 
continuidad sea vigente 




1 


A/R 


R 

R 

R 

1 

Probar regularmente el plan de continuidad de Tl 




1 

1 

A/R 


C 

C 

1 

1 

Desarrollar un plan de accion a seguir con base en los resultados de las pruebas 




c 

1 

A/R 

C 

R 

R 

R 

1 

Planeary llevar a cabo capacitacion sobre los planes de continuidad de Tl 




1 

R 

A/R 


C 

R 

1 

1 

Planear la recuperacion y reanudacion de los servicios de Tl 


1 

1 

c 

C 

A/R 

C 

R 

R 

R 

C 

Planear e implementar el almacenamiento y la proteccion de respaldos 




1 


A/R 


C 

C 

1 

1 

Establecer los procedimientos para llevar a cabo revisiones post reanudacion 




c 

1 

A/R 


C 

C 


c 


Una matriz RACI identifica quien es Responsable, quien debe rendir cuentas (A), quien debe ser Consultado y/o Informado 


Metas y Metricas 


' Asegurar que los servicios de Tl estan 
disponibles segun se requieran. 

' Asegurar un mmirno impacto al negoci 
en caso de una interruption o cambio 
los servicios de Tl. 

' Asegurar que los servicios y la 
infraestructura de Tl pueden resistir y 
recuperarse de fa I las originadas por ur 
error, ataque deliberado o desastre. 


Procesos 


' Establecer un plan de continuidad de 
Tl que soporte los planes de 
continuidad del negocio. 

’ Desarrollar planes de continuidad de 
Tl que puedan ejecutarse, probarse y 
mantenerse. 

' Minimizar la posibilidad de 
interrupcion de los servicios de Tl. 


Actividades 


’ Desarrollar y mantener (mejorar) los 
planes de contingencia de Tl 
’ Entrenamiento y pruebas de los planes 
de contingencia 

J* Almacenamiento de copias de los 
planes de contingencia fuera de las 
instalaciones 


Mide 


' # de horas perdidas por usuario por 
mes debido a interrupciones no 
planeadas 


% 


Mide 


% 


Mide 


• % de SLAs de disponibilidad que se 
cumplen 

• # de procesos crfticos del negocio 
que dependen de Tl, no cubiertos por 
un plan de continuidad 

• % de pruebas para lograr los 
objetivos de recuperacion 

• Frecuencia en la interrupcion de 
servicios de sistemas crfticos 


* Tiempo transcurrido entre las 
pruebas de cualquier elemento dado 
del plan de continuidad de Tl 

* Numero de horas de entrenamiento 
por ano de cada empleado relevante 
de Tl 

* % de componentes de 
infraestructura crfticos con 
monitoreo de disponibilidad 
automatizado 

* Frecuencia de revision del plan de 
continuidad de Tl 
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DS4 


Entregar y Dar Soporte 

Garantizar la Continuidad del Servicio 


Modelo de Madurez 

DS4 Garantizar la Continuidad del Servicio 

La administracion del proceso de Garantizar la continuidad del servicio que satisfaga el requerimiento de Tl del negocio para 
asegurar el mtnimo impacto al negocio en caso de interrupcion de un servicio de Tl es: 

0 No Existente cuando 

No hay entendimiento de los riesgos, vulnerabilidades y amenazas a las operaciones de Tl o del impacto en el negocio por la perdida 
de los servicios de Tl. No se considera que la continuidad en los servicios deba tener atencion de la gerencia. 

1 Inicial / Ad Hoc cuando 

Las responsabilidades sobre la continuidad de los servicios son informales y la autoridad para ejecutar responsabilidades es limitada. 
La gerencia comienza a darse cuenta de los riesgos relacionados y de la necesidad de mantener continuidad en los servicios. El 
enfoque de la gerencia sobre la continuidad del servicio radica en los recursos de infraestructura, en vez de radicar en los servicios de 
Tl. Los usuarios utilizan soluciones alternas como respuesta a la interrupcion de los servicios. La respuesta de Tl a las interrupciones 
mayores es reactiva y sin preparacion. Las perdidas de energfa planeadas estan programadas para cumplir con las necesidades de Tl 
pero no consideran los requerimientos del negocio 

2 Repetible pero Intuitivo cuando 

Se asigna la responsabilidad para mantener la continuidad del servicio. Los enfoques para asegurar la continuidad estan 
fragmentados. Los reportes sobre la disponibilidad son esporadicos, pueden estar incompletos y no toman en cuenta el impacto en el 
negocio. No hay un plan de continuidad de Tl documentado, aunque hay compromiso para mantener disponible la continuidad del 
servicio y sus principios mas importantes se conocen. Existe un inventario de sistemas y componentes crfticos, pero puede no ser 
confiable. Las practicas de continuidad en los servicios emergen, pero el exito depende de los individuos. 

3 Definido cuando 

La responsabilidad sobre la administracion de la continuidad del servicio es clara. Las responsabilidades de la planeacion y de las 
pruebas de la continuidad de los servicios estan claramente asignadas y definidas. El plan de continuidad de Tl esta documentado y 
basado en la criticidad de los sistemas y el impacto al negocio. Hay reportes periodicos de las pruebas de continuidad. Los individuos 
toman la iniciativa para seguir estandares y recibir entrenamiento para enfrentarse con incidentes mayores o desastres. La gerencia 
comunica de forma regular la necesidad de planear el aseguramiento de la continuidad del servicio. Se han aplicado componentes de 
alta disponibilidad y redundancia. Se mantiene un inventario de sistemas y componentes crfticos. 

4 Administrado y Medible cuando 

Se hacen cumplir las responsabilidades y los estandares para la continuidad de los servicios. Se asigna la responsabilidad de 
mantener un plan de continuidad de servicios. Las actividades de mantenimiento estan basadas en los resultados de las pruebas de 
continuidad, en las buenas practicas internas y en los cambios en el ambiente del negocio y de Tl. Se recopila, analiza y reporta 
documentacion estructurada sobre la continuidad en los servicios y se actua en consecuencia. Se brinda entrenamiento formal y 
obligatoria sobre los procesos de continuidad. Se implementan regularmente buenas practicas de disponibilidad de los sistemas. Las 
practicas de disponibilidad y la planeacion de la continuidad de los servicios tienen influencia una sobre la otra. Se clasifican los 
incidentes de discontinuidad y la ruta de escalamiento es bien conocida por todos los involucrados. Se han desarrollado y acordado 
KGIs y KPIs para la continuidad de los servicios, aunque pueden ser medidos de manera inconsistente. 

5 Optimizado cuando 

Los procesos integrados de servicio continuo toman en cuenta referencias de la industria y las mejores practicas externas. El plan de 
continuidad de Tl esta integrado con los planes de continuidad del negocio y se le da mantenimiento de manera rutinaria. El 
requerimiento para asegurar continuidad es garantizado por los proveedores y principales distribuidores. Se realizan pruebas globales 
de continuidad del servicio, y los resultados de las pruebas se utilizan para actualizar el plan. La recopilacion y el analisis de datos se 
utilizan para mejorar continuamente el proceso. Las practicas de disponibilidad y la continua planeacion de la continuidad estan 
totalmente alineadas. La gerencia asegura que un desastre o un incidente mayor no ocurrira como resultado de un punto unico de 
falla. Las practicas de escalamiento se entienden y se hacen cumplir a fondo. Los KGIs y KPIs sobre el cumplimiento de la continuidad 
de los servicios se miden de manera sistematica. La gerencia ajusta la planeacion de continuidad como respuesta a los KGIs y KPIs 
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Descripcion del Proceso. 


DS5 Garantizar la Seguridad de los Sistemas 


La necesidad de mantener la integridad de la informacion y de proteger los activos de Tl, requiere de un proceso de administracion de 
la seguridad. Este proceso incluye el establecimiento y mantenimiento de roles y responsabilidades de seguridad, polfticas, 
estandares y procedimientos de TL La administracion de la seguridad tambien incluye realizar monitoreos de seguridad y pruebas 
periodicas asf como realizar acciones correctivas sobre las debilidades o incidentes de seguridad identificados. Una efectiva 
administracion de la seguridad protege todos los activos de Tl para minimizar el impacto en el negocio causado por vulnerabilidades o 
incidentes de seguridad. 



Control sobre el proceso Tl de 


Planeary 

Organizar 


Adquirire 

Implementar 

1 

Entregar y 

Dar Soporte 


Monitorear y 

Evaluar 

1 


Garantizar la seguridad de los sistemas 


Que satisface el requerimiento del negocio de Tl para 


Mantener la integridad de la informacion y de la infraestructura de procesamiento y minimizar el impacto de las 
vulnerabilidades e incidentes de seguridad 


Enfocandose en 


La definicion de polfticas, procedimientos y estandares de seguridad de Tl y en el monitoreo, deteccion, reporte y 
resolucion de las vulnerabilidades e incidentes de seguridad 

Se logra con 


• El entendimiento de los requerimientos, vulnerabilidades y amenazas de seguridad. 

• La administracion de identidades y autorizaciones de los usuarios de forma estandarizada. 

• Probando la seguridad de forma regular 

Y se mide con 

• El numero de incidentes que danan la reputacion con el publico 

• El numero de sistemas donde no se cumplen los requerimientos de seguridad 

• El numero de de violaciones en la segregacion de tareas 
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Objetivos de Control 

DS5 Garantizar la Seguridad de los Sistemas 

DS5.1 Administracion de la Seguridad de Tl 

Administrar la seguridad de Tl al nivel mas alto apropiado dentro de la organizacion, de manera que las acciones de administracion de 
la seguridad esten en Ifnea con los requerimientos del negocio. 

DS5.2 Plan de Seguridad de Tl 

Trasladar los requerimientos de negocio, riesgos y cumplimiento dentro de un plan de seguridad de Tl completo, teniendo en 
consideracion la infraestructura de Tl y la cultura de seguridad. Asegurar que el plan esta implementado en las polfticas y 
procedimientos de seguridad junto con las inversiones apropiadas en los servicios, personal, software y hardware. Comunicar las 
polfticas y procedimientos de seguridad a los interesados y a los usuarios. 

DS5.3 Administracion de Identidad 

Asegurar que todos los usuarios (internos, externos y temporales) y su actividad en sistemas de Tl (aplicacion de negocio, entorno de 
Tl, operacion de sistemas, desarrollo y mantenimiento) deben ser identificables de manera unica. Permitir que el usuario se 
identifique a traves de mecanismos de autenticacion. Confirmar que los permisos de acceso del usuario al sistema y los datos estan 
en Ifnea con las necesidades del negocio definidas y documentadas y que los requerimientos de trabajo estan adjuntos a las 
identidades del usuario. Asegurar que los derechos de acceso del usuario se solicitan por la gerencia del usuario, aprobados por el 
responsable del sistema e implementado por la persona responsable de la seguridad. Las identidades del usuario y los derechos de 
acceso se mantienen en un repositorio central. Se despliegan tecnicas efectivas en coste y procedimientos rentables, y se mantienen 
actualizados para establecer la identificacion del usuario, realizar la autenticacion y habilitar los derechos de acceso. 

DS5.4 Administracion de Cuentas del Usuario 

Garantizar que la solicitud, establecimiento, emision, suspension, modificacion y cierre de cuentas de usuario y de los privilegios 
relacionados, sean tornados en cuenta por un conjunto de procedimientos de la gerencia de cuentas de usuario. Debe incluirse un 
procedimiento de aprobacion que describa al responsable de los datos o del sistema otorgando los privilegios de acceso. Estos 
procedimientos deben aplicarse a todos los usuarios, incluyendo administradores (usuarios privilegiados), usuarios externos e 
internos, para casos normales y de emergencia. Los derechos y obligaciones relativos al acceso a los sistemas e informacion de la 
empresa deben acordarse contractualmente para todos los tipos de usuarios. Realizar revisiones regulares de la gestion de todas las 
cuentas y los privilegios asociados. 

DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad 

Garantizar que la implementacion de la seguridad en Tl sea probada y monitoreada de forma pro-activa. La seguridad en Tl debe ser 
reacreditada periodicamente para garantizar que se mantiene el nivel seguridad aprobado. Una funcion de ingreso al sistema 
(logging) y de monitoreo permite la deteccion oportuna de actividades inusuales o anormales que pueden requerir atencion. 

DS5.6 Definicion de Incidente de Seguridad 

Definir claramente y comunicar las caracterfsticas de incidentes de seguridad potenciales para que puedan ser clasificados 
propiamente y tratados por el proceso de gestion de incidentes y problemas. 

DS5.7 Proteccion de la Tecnologfa de Seguridad 

Garantizar que la tecnologfa relacionada con la seguridad sea resistente al sabotaje y no revele documentacion de seguridad 
innecesaria. 

DS5.8 Administracion de Llaves Criptograficas 

Determinar que las polfticas y procedimientos para organizar la generacion, cambio, revocacion, destruccion, distribucion, 
certificacion, almacenamiento, captura, uso y archivo de llaves criptograficas esten implantadas, para garantizar la proteccion de las 
llaves contra modificaciones y divulgacion no autorizadas. 

DS5.9 Prevencion, Deteccion y Correction de Software Malicioso 

Poner medidas preventivas, detectivas y correctivas (en especial contar con parches de seguridad y control de virus actualizados) en 
toda la organizacion para proteger los sistemas de la informacion y a la tecnologfa contra malware (virus, gusanos, spyware, correo 
basura). 

DS5.10 Seguridad de la Red 

Uso de tecnicas de seguridad y procedimientos de administracion asociados (por ejemplo, firewalls, dispositivos de seguridad, 
segmentation de redes, y deteccion de intrusos) para autorizar acceso y controlar los flujos de informacion desde y hacia las redes. 

DS5.11 Intercambio de Datos Sensitivos 

Transacciones de datos sensibles se intercambian solo a traves de una ruta o medio con controles para proporcionar autenticidad de 
contenido, prueba de envfo, prueba de reception y no repudio del origen. 
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Entregar y Dar Soporte 

Garantizar la Seguridad de los Sistemas 


DS5 


Directrices Gerenciales 

DS5 Garantizar la Seguridad de los Sistemas 




Definiry mantener un plan de seguridad de Tl I C C A C C C C I I R 


Definir, establecery operar un proceso de administracion de identidad (cuentas) I A C R R I C 

Monitorearincidentes de seguridad, reales ypotenciales A I R C C R_ 

Revisary validar periodicamente los privilegios y derechos de aoceso de los usuarios I A C R_ 

Establecery mantener procedimientos para mantenery salvaguardar las Haves A R 1C 

oriptograficas 

Implementary mantener controlestecnicosy de procedimientos para proteger el flujo de A C C R R C 

informacion a traves de la red 

Realizar evaluaciones de vulnerabilidad de manera regular I A I C C C R^ 

Una matriz RACI identifica quien es Responsable, quien debe rendir cuentas (A), quien debe ser Consultado y/o Informado 


Metas y Metricas 


' Garantizar que la informacion crftica y 
confidencial este prohibida a aquellos 
que no tienen acceso a ella. 

' Garantizar que las transacciones e 
intercambios de informacion 
automatizados del negocio sean 
confiables. 

’ Mantener la integridad de la informacion 
y de la infraestructura de procesamiento. 

' Proteger y mantener registro de todos los 
activos de Tl. 

' Garantizar que los servicios y la 
infraestructura de Tl pueden resistir y 
recuperarse de fallas originadas por un 
error, ataque deliberado o desastre. 


Mide 


* # de incidentes con impacto al negocio. 

* # de sistemas que no cumplen con los 
requerimientos de seguridad. 

* Tiempo para otorgar, cambiar o eliminar 
privilegios de acceso. 


Procesos 


* Permitir el acceso a informacion crftica y 
sensible solo a usuarios autorizados. 
Identificar, monitoreary reportar 
vulnerabilidades e incidentes de 
seguridad. 

* Detecta r y resolver accesos no 
autorizados a la informacion, 
aplicaciones e infraestructura. 

* Minimizar el impacto de las 
vulnerabilidades y de los incidentes de 
seguridad. 


Mide 

• # y tipo de violaciones de acceso reales y 
sospechadas. 

• # de violaciones en la segregacion de 
funciones 

• % de usuarios que no cumplen con los 
estandares de contrasenas. 

• # y tipo de codigo malicioso prevenido. 


Actividades 


• Entendimiento de los requerimientos, 
vulnerabilidades y amenazas de 
seguridad. 

• Administracion de las identidades y 
autorizaciones de los usuarios de 
manera estandar. 

Definicion de incidentes de seguridad. 

• Pruebas de seguridad regulares. 




Mide 


• Frecuencia y revision del tipo de eventos 
de seguridad a ser monitoreados. 

• # y tipo de cuentas obsoletas 

• # de direcciones IP no autorizadas, 
puertos y tipos de trafico denegados 
% de Naves criptograficas 
comprometidas y revocadas 

# de derechos de acceso autorizados, 
revocados, restaurados o cambiados. 
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DS5 


Entregar y Dar Soporte 

Garantizar la Seguridad de los Sistemas 


Modelo DE Madurez 

DS5 Garantizar la Seguridad de los Sistemas 

La administracion del proceso de Garantizar la seguridad de los sistemas que satisfaga el requerimiento de negocio de Tl de 
mantener la integridad de la informacion y de la infraestructura de procesamiento y minimizar el impacto de vulnerabilidades e 
incidentes de seguridad es: 

0 No Existente cuando 

La organization no reconoce la necesidad de la seguridad para Tl. Las responsabilidades y la rendition de cuentas no estan 
asignadas para garantizar la seguridad. Las medidas para soportar la administrar la seguridad de Tl no estan implementadas. No hay 
reportes de seguridad de Tl ni un proceso de respuesta para resolver brechas de seguridad de Tl. Hay una total falta de procesos 
reconocibles de administracion de seguridad de sistemas. 

1 Inicial / Ad Hoc cuando 

La organizacion reconoce la necesidad de seguridad para Tl. La conciencia de la necesidad de seguridad depende principalmente del 
individuo. La seguridad de Tl se Neva a cabo de forma reactiva. No se mide la seguridad de Tl. Las brechas de seguridad de Tl 
ocasionan respuestas con acusaciones personales, debido a que las responsabilidades no son Claras. Las respuestas a las brechas 
de seguridad de Tl son impredecibles. 

2 Repetible pero Intuitivo cuando 

Las responsabilidades y la rendicion de cuentas sobre la seguridad, estan asignadas a un coordinador de seguridad de Tl, pero la 
autoridad gerencial del coordinador es limitada. La conciencia sobre la necesidad de la seguridad esta fraccionada y limitada. Aunque 
los sistemas producen informacion relevante respecto a la seguridad, esta no se analiza. Los servicios de terceros pueden no cumplir 
con los requerimientos especificos de seguridad de la empresa. Las polfticas de seguridad se han estado desarrollando, pero las 
herramientas y las habilidades son inadecuadas. Los reportes de la seguridad de Tl son incompletos, engahosos o no aplicables. La 
entrenamiento sobre seguridad esta disponible pero depende principalmente de la iniciativa del individuo. La seguridad de Tl es vista 
primordialmente como responsabilidad y disciplina de Tl, y el negocio no ve la seguridad de Tl como parte de su propia disciplina. 

3 Definido cuando 

Existe conciencia sobre la seguridad y esta es promovida por la gerencia. Los procedi mientos de seguridad de Tl estan definidos y 
alineados con la polftica de seguridad de Tl. Las responsabilidades de la seguridad de Tl estan asignadas y entendidas, pero no 
continuamente implementadas. Existe un plan de seguridad de Tl y existen soluciones de seguridad motivadas por un analisis de 
riesgo. Los reportes no contienen un enfoque claro de negocio. Se realizan pruebas de seguridad adecuadas (por ejemplo, pruebas 
contra intrusos). Existe entrenamiento en seguridad para Tl y para el negocio, pero se programa y se comunica de manera informal. 

4 Administrado y Medible cuando 

Las responsabilidades sobre la seguridad de Tl son asignadas, administradas e implementadas de forma clara. Regularmente se Neva 
a cabo un analisis de impacto y de riesgos de seguridad. Las polfticas y practicas de seguridad se complementan con referencias de 
seguridad especfficas. El contacto con metodos para promover la conciencia de la seguridad es obligatorio. La identificacion, 
autenticacion y autorizacion de los usuarios esta estandarizada. La certificacion en seguridad es buscada por parte del personal que 
es responsable de la auditorfa y la administracion de la seguridad. Las pruebas de seguridad se hacen utilizando procesos estandares 
y formales que llevan a mejorar los niveles de seguridad. Los procesos de seguridad de Tl estan coordinados con la funcion de 
seguridad de toda la organizacion. Los reportes de seguridad estan ligados con los objetivos del negocio. La entrenamiento sobre 
seguridad se imparte tanto para Tl como para el negocio. La entrenamiento sobre seguridad de Tl se planea y se administra de 
manera que responda a las necesidades del negocio y a los perfiles de riesgo de seguridad. Los KGIs y KPIs ya estan definidos pero 
no se miden aun. 

5 Optimizado cuando 

La seguridad en Tl es una responsabilidad conjunta del negocio y de la gerencia de Tl y esta integrada con los objetivos de seguridad 
del negocio en la corporacion. Los requerimientos de seguridad de Tl estan definidos de forma clara, optimizados e incluidos en un 
plan de seguridad aprobado. Los usuarios y los clientes se responsabilizan cada vez mas de definir requerimientos de seguridad, y las 
funciones de seguridad estan integradas con las aplicaciones en la fase de diseno. Los incidentes de seguridad son atendidos de 
forma inmediata con procedimientos formales de respuesta soportados por herramientas automatizadas. Se llevan a cabo 
valoraciones de seguridad de forma periodica para evaluar la efectividad de la implementacion del plan de seguridad. La informacion 
sobre amenazas y vulnerabilidades se recolecta y analiza de manera sistematica. Se recolectan e implementan de forma oportuna 
controles adecuados para mitigar riesgos. Se llevan acabo pruebas de seguridad, analisis de causa-efecto e identificacion pro-activa 
de riesgos para la mejora continua de procesos. Los procesos de seguridad y la tecnologfa estan integrados a lo largo de toda la 
organizacion. Los KGIs y KPIs para administracion de seguridad son recopilados y comunicados. La gerencia utiliza los KGIs y KPIs 
para ajustar el plan de seguridad en un proceso de mejora continua 
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Entregar y Dar Soporte 

Identificar y Asignar Costos 


DS6 


Descripcion del Proceso. 


DS6 Identificar y Asignar Costos 


La necesidad de un sistema justo y equitativo para asignar costos de Tl al negocio, requiere de una medicion precisa y un acuerdo 
con los usuarios del negocio sobre una asignacion justa. Este proceso incluye la construccion y operacion de un sistema para 
capturar, distribuir y reportar costos de Tl a los usuarios de los servicios. Un sistema equitativo de costos permite al negocio tomar 
decisiones mas informadas respectos al uso de los servicios de TL 



Control sobre el proceso Tl de 


Planeary 

Organizar 


Adquirire 

Implementar 

1 

Entregar y 

Dar Soporte 


Monitoreary 

Evaluar 

1 


Identificar y asignar costos 


Que satisface el requerimiento del negocio de Tl para 


Transparentar y entender los costos de Tl y mejorar la rentabilidad a traves del uso bien informado de los servicios de Tl 


Enfocandose en 


el registro completo y preciso de los costos de Tl, un sistema equitativo para asignacion acordado con los usuarios 
de negocio, y un sistema para reportar oportunamente el uso de Tl y los costos asignados 

Se logra con 

• La alineacion de cargos con la calidad y cantidad de los servicios brindados 

• La construccion y aceptacion de un modelo de costos completo 

• La aplicacion de cargos con base en ia polftica acordada 

Y se mide con 

• Porcentaje de facturas de servicios de Tl aceptadas/pagadas por la gerencia del negocio. 

• Porcentaje de variacion entre los presupuestos, pronosticos y costos actuales. 

• Porcentaje de costos totales de Tl que son distribuidos de acuerdo con los modelos 
acordados 
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DS6 


Entregar y Dar Soporte 

Identificar y Asignar Costos 


Objetivos de Control 

DS6 Identificar y Asignar Costos 

DS6.1 Definicion de Servicios 

Identificar todos los costos de Tl y equipararlos a los servicios de Tl para soportar un modelo de costos transparente. Los servicios de 
Ti deben aiinearse a los procesos dei negocio de forma que el negocio pueda identificar los niveles de facturacion de los servicios 
asociados. 

DS6.2 Contabilizacion de Tl 

Registrar y asignar los costos actuales de acuerdo con ei modelo de costos definido. Las variaciones entre los presupuestos y los 
costos actuales deben analizarse y reportarse de acuerdo con los sistemas de medicion financiera de la empresa. 

DS6.3 Modelacion de Costos y Cargos 

Con base en la definicion del servicio, definir un modelo de costos que incluya costos directos, indirectos y fijos de los servicios, y que 
ayude al calculo de tarifas de reintegros de cobro por servicio. El modelo de costos debe estar alineado con los procedimientos de 
contabilizacion de costos de la empresa. El modelo de costos de Tl debe garantizar que los cargos por servicios son identificables, 
medibles y predecibles por parte de los usuarios para propiciar el adecuado uso de recursos. La gerencia del usuario debe poder 
verificar el uso actual y los cargos de los servicios. 

DS6.4 Mantenimiento del Modelo de Costos 

Revisar y comparar de forma regular lo apropiado del modelo de costos/recargos para mantener su relevancia para el negocio en 
evolucion y para las actividades de TL 
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Entregar y Dar Soporte 

Identificar y Asignar Costos 


DS6 


Directrices Gerenciales 

DS6 Identificar y Asignar Costos 


Desde 

Entradas 

P04 

Duenos de sistemas documentados 

P05 

Reportes costo/beneficio, presupuestos de Tl 

P010 

Planes de proyecto detallados 

DS1 

SLAs y OLAs 



Salidas 

Hacia 

Finanzas de Tl 

P05 




Reportes de desempefio de procesos 

ME1 





Matriz RACI 


Funciones 


Actividades 



Mapearla infraestructura con los servicios brindados/ procesos de negocio soportados 


C 

c 

A 

C 

C 

c 

c 

R 

c 


Identificar todos los costos de Tl (personas, tecnologfa, etc) y mapearlos a los servicios de 

Tl con base en costos unitarios 


C 


A 


c 

c 

c 

R 

c 


Establecery mantener un proceso de control de contabilizacion de Tl y de costos 


c 

c 

A 

C 

c 

c 

c 

R 

c 


Establecery mantener procedimientos y polfticas de facturacion 


c 

c 

A 

C 

c 

c 

c 

R 

c 



Una matriz RACI identifica quien es Responsable, quien debe rendir cuentas (A), quien debe ser Consultado y/o Informado 


Metas y Metricas 


* Garantizar la transparencia y 
entendimiento de los costos, beneficios, 
estrategia, polfticas y niveles de 
servicios de Tl. 

' Mejorar la relacion costo-eficiencia de Tl 
y su contribucion a la rentabilidad del 
negocio. 

* Garantizar que Tl demuestra una calidad 
de servicio rentable, mejora continua y 
que esta preparada para cambios 
futuros. 


Procesos 


• Desarrollo de una definicion justa y 
equitativa de los costos y servicios de de 
Tl 

• Registro preciso de los costos de los 
servicios de Tl. 

• Asignar de forma justa y equitativa los 
costos de Tl a los consumidores de 
servicios de Tl. 


Actividades 


• Revision de costos asignados por la 
gerencia de negocio 

' Alineacion de cargos con la calidad de 
los servicios prestados 

• Construccion y acuerdo de un modelo de 
costos completo 

• Aplicacion de cargos de acuerdo a la 
polftica acordada 

• Evaluacion por comparacion de los 
costos de manera periodica. 


Mide 




Mide 






Mide 



• % de facturas por servicios de Tl 


• % de varianza entre los presupuestos, 


• % de usuarios de negocio involucrados 


aceptadas/pagadas por la gerencia del 


pronosticos y costos reales 


en la definicion de modelos de costo. 


negocio 


• % de costos generales de Tl que se 


• Frecuencia de medicion del modelo de 


• Costo unitario por servicio en el tiempo 


asignan de acuerdo a los modelos de 


asignacion de costos 




costos acordados 


• % de costos asignados de forma 

< 

ra 





automatica / manual 

+-> 

'0) 






5 
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DS6 


Entregar y Dar Soporte 

Identificar y Asignar Costos 


Modelo de Madurez 

DS6 Identificar y Asignar Costos 

La administracion del proceso de Identificar y asignar costos que satisfagan los requerimientos del negocio de Tl de transparentary 
entender los costos de Tl y mejorar la relacion costo-eficiencia por medio del uso bien informado de servicios de Tl es: 

0 No Existente cuando 

Hay una completa falta de cualquier proceso reconocible de identificacion y distribucion de costos en relacion a los servicios de 
informacion brindados. La organizacion no reconoce incluso que hay un problema que atender respecto a la contabilizacion de costos 
y que no hay comunicacion respecto a este asunto. 

1 Inicial / Ad Hoc cuando 

Hay un entendimiento general de los costos globales de los servicios de informacion, pero no hay una distribucion de costos por 
usuario, cliente, departamento, grupos de usuarios, funciones de servicio, proyectos o entregables. Es casi nulo el monitoreo de los 
costos, solo se reportan a la gerencia los costos agregados. La distribucion de costos de Tl se hace como un costo fijo de operacion. Al 
negocio no se le brinda informacion sobre el costo o los beneficios de la prestacion del servicio. 

2 Repetible pero Intuitivo cuando 

Hay conciencia general de la necesidad de identificar y asignar costos. La asignacion de costos esta basada en suposiciones de 
costos informales o rudimentarios, por ejemplo, costos de hardware, y practicamente no hay relacion con los generadores de valor. 

Los procesos de asignacion de costos pueden repetirse. No hay entrenamiento o comunicacion formal sobre la identificacion de 
costos estandar y sobre los procedimientos de asignacion. No esta asignada la responsabilidad sobre la recopilacion o la asignacion 
de los costos. 

3 Definido cuando 

Hay un modelo definido y documentado de costos de servicios de informacion. Se ha definido un proceso para relacionar costos de Tl 
con los servicios prestados a los usuarios. Existe un nivel apropiado de conciencia de los costos atribuibles a los servicios de 
informacion. Al negocio se le brinda informacion muy basica sobre costos. 

4 Administrado y Medible cuando 

Las responsabilidades sobre la administracion de costos de los servicios de informacion estan bien definidas y bien entendidas a 
todos los niveles, y son soportadas con entrenamiento formal. Los costos directos e indirectos estan identificados y se reportan de 
forma oportuna y automatizada a la gerencia, a los duenos de los procesos de negocio y a los usuarios. Por lo general, hay monitoreo 
y evaluacion de costos, y se toman acciones cuando se detectan desviaciones de costos. El reporte del costo de los servicios de 
informacion esta ligado a los objetivos del negocio y los acuerdos de niveles de servicio, y son vigilados por los duefios de los 
procesos de negocio. Una funcion financiera revisa que el proceso de asignacion de costos sea razonable. Existe un sistema 
automatizado de distribucion de costos, pero se enfoca principalmente en la funcion de los servicios de informacion en vez de hacerlo 
en los procesos de negocio. Se acordaron los KPIs y KGIs para mediciones de costos, pero son medidos de manera inconsistente. 

5 Optimizado cuando 

Los costos de los servicios prestados se identifican, registran, resumen y reportan a la gerencia, a los duenos de los procesos de 
negocio y a los usuarios. Los costos se identifican como productos cobrables y pueden soportar un sistema de cobro que cargue a los 
usuarios por los servicios prestados, con base en la utilizacion. Los detalles de costos soportan los acuerdos de niveles de servicio. El 
monitoreo y la evaluacion del costo de los servicios se utilizan para optimizar el costo de los recursos de Tl. Las cifras obtenidas de los 
costos se usan para verificar la obtencion de beneficios y para el proceso de presupuesto de la organizacion. Los reportes sobre el 
costo de los servicios de informacion brindan advertencias oportunas de cambios en los requerimientos del negocio, por medio del 
uso de sistemas de reporte inteligentes. Se utiliza un modelo de costos variables, derivado de los volumenes de datos procesados de 
cada servicio prestado. La administracion de costos se ha llevado a un nivel de practica industrial, basada en el resultado de mejoras 
continuas y de comparacion con otras organizaciones. La optimizacion de costos es un proceso constante. La gerencia revisa los KPIs 
y KGIs como parte de un proceso de mejora continua en el rediseho de los sistemas de medicion de costos 
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Entregar y Dar Soporte 

Educar y Entrenar a los Usuarios 


DS7 


Descripcion del Proceso. 


DS7 Educar y Entrenar a los Usuarios 

Para una educacion efectiva de todos los usuarios de sistemas de Tl, incluyendo aquellos dentro de Tl, se requieren identificar las 
necesidades de entrenamiento de cada grupo de usuarios. Ademas de identificar las necesidades, este proceso incluye la definicion y 
ejecucion de una estrategia para llevar a cabo un entrenamiento efectivo y para medir los resultados. Un programa efectivo de 
entrenamiento incrementa el uso efectivo de la tecnologfa al disminuir los errores, incrementando la productividad y el cumplimiento 
de los controles clave tales como las medidas de seguridad de los usuarios. 



Educar y entrenar a los usuarios 


Planear y 

Organizar 


Adquirir e 
Implementar 

1 

Entregar y 

Dar Soporte 


Monitorear y 

Evaluar 

1 


Que satisface el requerimiento del negocio de Tl para 


El uso efectivo y eficiente de soluciones y aplicaciones tecnologicas y el cumplimiento del usuario con las politicas y 
procedimientos 


Enfocandose en 


Un claro entendimiento de las necesidades de entrenamiento de los usuarios de Tl, la ejecucion de una efectiva 
estrategia de entrenamiento y la medicion de resultados 

Se logra con 


• Establecer un programa de entrenamiento 

• Organizar el entrenamiento 

• Impartir el entrenamiento 

• Monitorear y reportar la efectividad del entrenamiento 

Y se mide con 

• Numero de llamadas de soporte debido a problemas de entrenamiento 

• Porcentaje de satisfaccion de los Interesados con el entrenamiento recibido 

• Lapso de tiempo entre la identificacion de la necesidad de entrenamiento y la imparticion del 
mismo 



© 2007 IT Governance Institute. All rights reserved, www.itgi.org 


125 






DS7 


Entregar y Dar Soporte 

Educar y Entrenar a los Usuarios 


Objetivos de Control 

DS7 Educar y Entrenar a los Usuarios 

DS7.1 Identificacion de Necesidades de Entrenamiento y Educacion 

Establecer y actualizar de forma regular un programa de entrenamiento para cada grupo objetivo de empleados, que incluya: 

• Estrategias y requerimientos actuales y futures del negocio. 

• Valores corporativos (valores eticos, cultura de control y seguridad, etc.) 

• Implementacion de nuevo software e infraestructura de Tl (paquetes y aplicaciones) 

• Habilidades, perfiles de competencias y certificaciones actuales y/o credenciales necesarias. 

• Metodos de imparticion (por ejemplo, aula, web), tamano del grupo objetivo, accesibilidad y tiempo. 

DS7.2 Imparticion de Entrenamiento y Educacion 

Con base en las necesidades de entrenamiento identificadas, identificar: a los grupos objetivo y a sus miembros, a los mecanismos 
de imparticion eficientes, a maestros, instructores y consejeros. Designar instructores y organizar el entrenamiento con tiempo 
suficiente. Debe tomarse nota del registro (incluyendo los prerrequisitos), la asistencia, y de las evaluaciones de desempeno. 

DS7.3 Evaluacion del Entrenamiento Recibido 

Al finalizar el entrenamiento, evaluar el contenido del entrenamiento respecto a la relevancia, calidad, efectividad, percepcion y 
retencion del conocimiento, costo y valor. Los resultados de esta evaluacion deben contribuir en la definicion futura de los planes de 
estudio y de las sesiones de entrenamiento. 
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Entregar y Dar Soporte 

Educar y Entrenar a los Usuarios 


DS7 


Directrices Gerenciales 


DS7 Educar y Entrenar a los Usuarios 


Desde 

Entradas 

P07 

Habilidades y competencias de los usuarios, incluyendo el 
entrenamiento individual y los requerimientos especfficos de 
entrenamiento. 

AI4 

Materiales de entrenamiento; requerimientos de transferencia 
del conocimiento para implementacion de soluciones 

DS1 

SLAs 

DS5 

Requerimientos especfficos de entrenamiento sobre 
conocimientos de seguridad 

DS8 

Reportes de satisfaccion de usuario 


Salidas 

Hacia 


Reportes de desempeno de procesos 

ME1 







Actualizaciones de documentacion 
requeridas 

AI4 









Una matriz RACI identifica quien es Responsable, quien debe rendircuentas (A), quien debe serConsultadoy/o Informado 


Metas y Metricas 


* Garantizar la satisfaccion de los 
usuarios finales con ofrecimiento de 
servicios y niveles de servicio. 

• Garantizar el uso apropiado y el 
desempeno de las aplicaciones y 
soluciones tecnologicas. 

' Optimizar la infraestructura, los recursos 
y las capacidades de Tl. 


Procesos 


• Establecer un programa de 
entrenamiento para usuarios a todos los 
niveles utilizando los metodos con mejor 
rentabilidad. 

• Transferir el conocimiento a los usuarios 
de las aplicaciones y soluciones 
tecnologicas. 

• Incrementar la conciencia sobre los 
riesgos y las responsabilidades 
involucrados en el uso de soluciones y 
aplicaciones tecnologicas. 


Actividades 


• Establecer plan de entrenamiento 

• Organizar el entrenamiento 

• Impartir el entrenamiento 

• Monitorear y reporta r la efectividad del 
entrenamiento 


Mide 






Mide 


Z'r, 




* Mejoras medidas en la productividad de 
los empleados como resultado de un 
mejor entendimiento de los sistemas. 

' Aumento de la satisfaccion del usuario 
con la introduccion de servicios, 
sistemas o nuevas tecnologfas. 


• # de llamadas de soporte para 
entrenamiento o para responder 
preguntas 

• % de satisfaccion de los interesados a 
quienes se les brindo entrenamiento 

• % de empleados entrenados. 


Mide 


' Frecuencia de actualizaciones del 
programa de entrenamiento. 

' Lapso de tiempo entre la identificacion 
de la necesidad de entrenamiento y la 
imparticion de la misma. 
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DS7 


Entregar y Dar Soporte 

Educar y Entrenar a los Usuarios 


Modelo de Madurez 

DS7 Educar y Entrenar a los Usuarios 

La administracion del proceso de Educar y entrenar a los usuarios que satisfagan los requerimientos del negocio de Tl de tener un 
uso efectivo y eficiente de soluciones y aplicaciones tecnologicas y lograr que los usuarios cumplan con las politicas y los 
procedimientos es: 

0 No Existente cuando 

Hay una total falta de programas de entrenamiento y educacion. La organizacion no reconoce que hay un problema a ser atendido 
respecto al entrenamiento y no hay comunicacion sobre el problema. 

1 Inicial / Ad Hoc cuando 

Hay evidencia de que la organizacion ha reconocido la necesidad de contar con un programs de entrenamiento y educacion, pero no 
hay procedimientos estandarizados. A falta de un proceso organizado, los empleados han buscado y asistido a cursos de 
entrenamiento por su cuenta. Algunos de estos cursos de entrenamiento abordan los temas de conducts etica, conciencia sobre la 
seguridad en los sistemas y practicas de seguridad. El enfoque global de la gerencia carece de cohesion y solo hay comunicacion 
esporadica e inconsistente respecto a los problemas y enfoques para hacerse cargo del entrenamiento y la educacion 

2 Repetible pero Intuitivo cuando 

Hay conciencia sobre ia necesidad de un programs de entrenamiento y educacion, y sobre los procesos asociados a io largo de toda 
la organizacion. El entrenamiento esta comenzando a identificarse en los planes de desempeho individuales de los empleados. Los 
procesos se han desarrollado hasta la fase en la cual se imparte entrenamiento informal por parte de diferentes instructores, 
cubriendo los mismos temas de materias con diferentes puntos de vista. Algunas de las clases abordan los temas de conducts etica y 
de conciencia sobre practicas y actividades de seguridad en los sistemas. Hay una gran dependencia del conocimiento de los 
individuos. Sin embargo, hay comunicacion consistente sobre los problemas globales y sobre ia necesidad de atenderlos. 

3 Definido cuando 

El programs de entrenamiento y educacion se institucionaliza y comunica, y los empleados y gerentes identifican y documentan las 
necesidades de entrenamiento. Los procesos de entrenamiento y educacion se estandarizan y documentan. Para soportar el 
programs de entrenamiento y educacion, se establecen presupuestos, recursos, instructores e instalaciones. Se imparten clases 
formales sobre conducts etica y sobre conciencia y practicas de seguridad en los sistemas. La mayoria de los procesos de 
entrenamiento y educacion son monitoreados, pero no todas las desviaciones son susceptibles de deteccion por parte de la gerencia. 
El analisis sobre problemas de entrenamiento y educacion solo se aplica de forma ocasional. 

4 Administrado y Medible cuando 

Hay un programs completo de entrenamiento y educacion que produce resultados medibles. Las responsabilidades son Claras y se 
establece la propiedad sobre los procesos. El entrenamiento y la educacion son componentes de los planes de carrera de los 
empleados. La gerencia apoya y asiste a sesiones de entrenamiento y de educacion. Todos los empleados reciben entrenamiento 
sobre conducts etica y sobre conciencia y practicas de seguridad en los sistemas. Todos los empleados reciben ei nivel apropiado de 
entrenamiento sobre practicas de seguridad en los sistemas para proteger contra danos originados por fallas que afecten la 
disponibilidad, la confidencialidad y la integridad. La gerencia monitorea el cumplimiento por medio de revision constante y 
actualizacion del programs y de los procesos de entrenamiento. Los procesos estan en via de mejora y fomentan las mejores 
practicas internas. 

5 Optimizado cuando 

El entrenamiento y la educacion dan como resultado la mejora del desempeho individual. El entrenamiento y la educacion son 
componentes crfticos de los planes de carrera de los empelados. Se asignan suficientes presupuestos, recursos, instalaciones e 
instructores para los programas de entrenamiento y educacion. Los procesos se afinan y estan en continua mejora, tomando ventaja 
de las mejores practicas externas y de modelos de madurez de otras organizaciones. Todos los problemas y desviaciones se analizan 
para identificar las causas de rafz, se identifican y llevan a cabo acciones de forma expedita. Hay una actitud positiva con respecto a 
la conducta etica y respecto a los principios de seguridad en los sistemas. Tl se utiliza de manera amplia, integral y optima para 
automatizar y brindar herramientas para los programas de entrenamiento y educacion. Se utilizan expertos externos en 
entrenamiento yse utilizan benchmarks del mercado como orientacion. 
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Entregar y Dar Soporte 

Administrar la Mesa de Servicio y los Incidentes 


DS8 


Descripcion del Proceso. 


DS8 Administrar la Mesa de Servicio y los Incidentes. 

Responder de manera oportuna y efectiva a las consultas y problemas de los usuarios de Tl, requiere de una mesa de servicio bien 
disenada y bien ejecutada, y de un proceso de administracion de incidentes. Este proceso incluye la creacion de una funcion de mesa 
de servicio con registro, escalamiento de incidentes, analisis de tendencia, analisis causa-raiz y resolucion. Los beneficios del negocio 
incluyen el incremento en la productividad gracias a la resolucion rapida de consultas. Ademas, el negocio puede identificar la causa 
rafz (tales como un pobre entrenamiento a los usuarios) a traves de un proceso de reporte efectivo. 


Control sobre el proceso Tl de 

Administrar la mesa de servicio y los incidentes 


Planear y 

Organizar 


Adquirir e 
Implementar 

1 

Entregar y 

Dar Soporte 


Monitoreary 

Evaluar 

1 



Que satisface el requerimiento del negocio de Tl para 


Permitir el efectivo uso de los sistemas de Tl garantizando la resolucion y el analisis de las consultas de los usuarios finales, 
incidentes y preguntas 


Enfocandose en 


Una funcion profesional de mesa de servicio, con tiempo de respuesta rapido, procedimientos de escalamiento 
claros y analisis de tendencias y de resolucion 

Se logra con 

• Instalacion y operacion de un servicio de una mesa de servicios 

• Monitoreo y reporte de tendencias 

• Definicion de procedimientos y de criterios de escalamiento claros 

Y se mide con 

• Satisfaccion del usuario con el soporte de primera Ifnea 

• Porcentaje de incidentes resueltos dentro de un lapso de tiempo aceptable / acordado. 

• fndice de abandono de ilamadas 
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DS8 


Entregar y Dar Soporte 

Administrar la Mesa de Servicio y los Incidentes 


Objetivos de Control 

DS8 Administrar la Mesa de Servicio y los Incidentes. 

DS8.1 Mesa de Servicios 

Establecer la funcion de mesa de servicio, la cual es la conexion del usuario con Tl, para registrar, comunicar, atender y analizar todas 
las llamadas, incidentes reportados, requerimientos de servicio y solicitudes de informacion. Deben existir procedimientos de 
monitoreo y escalamiento basados en los niveles de servicio acordados en los SLAs, que permitan clasificar y priorizar cualquier 
problema reportado como incidente, solicitud de servicio o solicitud de informacion. Medir la satisfaccion del usuario final respecto a 
la calidad de la mesa de servicios y de los servicios de Tl 

DS8.2 Registro de Consultas de Clientes 

Establecer una funcion y sistema que permita el registro y rastreo de llamadas, incidentes, solicitudes de servicio y necesidades de 
informacion. Debe trabajar estrechamente con los procesos de administracion de incidentes, administracion de problemas, 
administracion de cambios, administracion de capacidad y administracion de disponibilidad. Los incidentes deben clasificarse de 
acuerdo al negocio y a la prioridad del servicio y enrutarse al equipo de administracion de problemas apropiado y se debe mantener 
informados a los clientes sobre el estatus de sus consultas. 

DS8.3 Escalamiento de Incidentes 

Establecer procedimientos de mesa de servicios de manera que los incidentes que no puedan resolverse de forma inmediata sean 
escalados apropiadamente de acuerdo con los Ifmites acordados en el SLA y, si es adecuado, brindar soluciones alternas. Garantizar 
que la asignacion de incidentes y el monitoreo del ciclo de vida permanecen en la mesa de servicios, independientemente de que 
grupo de Tl este trabajando en las actividades de resolucion. 

DS8.4 Cierre de Incidentes 

Establecer procedimientos para el monitoreo puntual de la resolucion de consultas de los clientes. Cuando se resuelve el incidente la 
mesa de servicios debe registrar la causa rafz, si la conoce, y confirmar que la accion tomada fue acordada con el cliente. 

DS8.5 Analisis de Tendencias 

Emitir reportes de la actividad de la mesa de servicios para permitir a la gerencia medir el desempeno del servicio y los tiempos de 
respuesta, asf como para identificar tendencias de problemas recurrentes de forma que el servicio pueda mejorarse de forma 
continua. 
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Entregar y Dar Soporte 

Administrar la Mesa de Servicio y los Incidentes 


DS8 


Directrices Gerenciales 


DS8 Administrar la Mesa de Servicio y los Incidentes. 


Desde 

Entradas 

AI4 

Manuales de usuario, de operacion, tecnicos y de 
administracion 

AI6 

Autorizacion de cambios 

AI7 

Puntos de configuracion liberados 

DS1 

SLAs y OLAS 

DS4 

Umbrales de incidente/ desastre 

DS5 

Definicion de incidente de seguridad 

DS9 

Detalles de configuracion/activos de Tl 

DS10 

Problemas conocidos, errores conocidos y soluciones alternas 

DS13 

Tiquetes de incidente 


1 Salidas 

Hacia 


Solicitud de servicio / solicitud de cambio 

AI6 







Reportes de incidentes 

DS10 







Reportes de desempeno de procesos 

ME1 







Reportes de satisfaccion de usuarios 

DS7 

ME1 







Matriz RACI 


Funciones 



Crear procedimientos de clasificacion (severidad e impacto) y de escalamiento (funcional y 
jerarquicos) 




C 

c 

c 

c 

C 

C 


c 

A/R 

Detectary registrar incidentes/ solicitudes de servicio/ solicitudes de informacion 












A/R 

Clasificar, investigar y diagnosticar consultas 




1 


c 

c 

C 



1 

A/R 

Resolver, recuperar y cerrar incidentes 





1 

R 

R 

R 



c 

A/R 

Informar a usuarios (por ejemplo, actualizaciones de estatus) 




1 

1 







A/R 

Hacer reportes para la gerencia 

1 



1 

1 

1 



1 


1 

A/R 


Una matriz RACI identifica quien es Responsable, quien debe rendir ouentas (A), quien debe ser Consultado y/o Informado 


Metas y Metricas 


* Garantizar la satisfaccion de los 
usuarios finales con ofrecimientos de 
servicios y niveles de servicio. 

' Garantizar el uso y desempeno 
apropiados de las aplicaciones y 
soluciones tecnologicas. 

' Garantizar que los servicios de Tl esten 
disponibles cuando se requieran. 


Mide 


' Satisfaccion del usuario con el soporte 
de primera Ifnea (mesa de servicios o 
base de conocimientos) 

* % de incidentes resueltos dentro de un 
perfodo de tiempo aceptable/ acordado. 


Procesos 


• Analizar, documentar y escalar 
incidentes de manera oportuna. 

• Responder a las consultas de forma 
precisa y oportuna. 

• Llevar a cabo de manera regular analiste 
de tendencias de incidentes y consultas. 


Z'O 




Actividades 


• Instalacion y operacion de una mes de 
servicios 

• Monitoreo y reporte de tendencias. 

• Alineacion de las prioridades de 
resolucion con las prioridades del 
negocio. 

• Definicion de procedimientos y criterios 
de escalamiento claros. 


Mide 


Mide 


• % de resoluciones en la primera Ifnea de 
atencion con base en el total de 
peticiones. 

• % de incidentes reabiertos. 

• Indice de abandono de llamadas. 

• Duracion promedio de los incidentes por 
severidad. 

• Velocidad promedio para responder a 
peticiones vfa telefono y vfa web o e- 
mail. 


• % de incidentes y de solicitudes de 
servicio reportadas y registradas usando 
herramientas automatizadas. 

• # de dfas de entrenamiento del persona 
de la mesa de servicios por afio. 

• # de llamadas atendidas por el personal 
de la mesa de servicios por hora. 

• % de incidentes que requieren soporte 
local (en campo, visita personal) 

• Acumulacion de consultas sin resolver. 
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DS8 


Entregar y Dar Soporte 

Administrar la Mesa de Servicio y los Incidentes 


Modelo DE Madurez 

DS8 Administrar la Mesa de Servicio y los Incidentes. 

La administracion del proceso de Administrar la mesa de servicio y los incidentes que satisfaga el requerimiento del negocio de Tl de 
permitir el uso efectivo de sistemas de Tl garantizando el analisis y la resolucidn de las consultas, preguntas e incidentes del usuario 
final es: 

0 No Existente cuando 

No hay soporte para resolver problemas y preguntas de los usuarios. Hay una completa falta de procesos para la administracion de 
incidentes. La organizacion no reconoce que hay un problema que atender. 

1 Inicial / Ad Hoc cuando 

La gerencia reconoce que requiere un proceso soportado por herramientas y personal para responder a las consultas de los usuarios 
y administrar la resolucion de incidentes. Sin embargo, se trata de un proceso no estandarizado y solo se brinda soporte reactivo. La 
gerencia no monitorea las consultas de los usuarios, los incidentes o las tendencias. No existe un proceso de escalamiento para 
garantizar que los problemas se resuelvan 

2 Repetible pero Intuitivo cuando 

Hay conciencia organizacional de la necesidad de una funcion de mesa de servicio y de un proceso de administracion de incidentes. 
Existe ayuda disponible de manera informal a traves de una red de individuos expertos. Estos individuos tienen a su disposicion 
algunas herramientas comunes para ayudar en la resolucion de incidentes. No hay entrenamiento formal y la comunicacion obre 
procedimientos estandar y la responsabilidad es delegada al individuo. 

3 Definido cuando 

Se reconoce y se acepta la necesidad de contar con una funcion de mesa de servicio y un proceso para la administracion de 
incidentes. Los procedimientos se estandarizan y documentan, pero se Neva acabo entrenamiento informal. Se deja la 
responsabilidad al individuo de conseguir entrenamiento y de seguir los estandares. Se desarrollan gufas de usuario y preguntas 
frecuentes (FAQs), pero los individuos deben encontrarlas y puede ser que no las sigan. Las consultas y los incidentes se rastrean de 
forma manual y se monitorean de forma individual, pero no existe un sistema formal de reporte. No se mide la respuesta oportuna a 
las consultas e incidentes y los incidentes pueden quedar sin resolucion. Los usuarios han recibido indicaciones Claras de donde y 
como reportar problemas e incidentes. 

4 Administrado y Medible cuando 

En todos los niveles de la organizacion hay un total entendimiento de los beneficios de un proceso de administracion de incidentes y 
la funcion de mesa de servicio se ha establecido en las unidades organizacionales apropiadas. Las herramientas y tecnicas estan 
automatizadas con una base de conocimientos centralizada. El personal de la mesa de servicio interactua muy de cerca con el 
personal de administracion de problemas. Las responsabilidades son Claras y se monitorea su efectividad. Los procedimientos para 
comunicar, escalar y resolver incidentes han sido establecidos y comunicados. El personal de la mesa de servicio esta entrenado y los 
procesos se mejoran a traves del uso de software para tareas especfficas. La gerencia ha desarrollado los KPIs y KGIs para el 
desempeho de la mesa de servicio. 

5 Optimizado cuando 

El proceso de administracion de incidentes y la funcion de mesa de servicio estan bien organizados y establecidos y se llevan a cabo 
con un enfoque de servicio al cliente ya que son expertos, enfocados al cliente y utiles. Los KPIs y KGIs son medidos y reportados 
sistematicamente. Una amplia y extensa cantidad de preguntas frecuentes son parte integral de la base de conocimientos. Existen a 
disposicion del usuario, herramientas para llevar a cabo autodiagnosticos y para resolver incidentes. La asesorfa es consistente y los 
incidentes se resuelven de forma rapida dentro de un proceso estructurado de escalamiento. La gerencia utiliza una herramienta 
integrada para obtener estadfsticas de desempeho del proceso de administracion de incidentes y de la funcion de mesa de servicio. 
Los procesos han sido afinados al nivel de las mejores practicas de la industria, con base en los resultados del analisis de los KPIs y 
KGIs, de la mejora continua y de benchmarking con otras organizaciones. 
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Entregar y Dar Soporte 

Administrar la Configuracion 


DS9 


Descripcion del Proceso. 

DS9 Administrar la Configuracion 

Garantizar la integridad de las configuraciones de hardware y software requiere establecer y mantener un repositorio de 
configuraciones completo y preciso. Este proceso incluye la recoleccion de informacion de la configuracion inicial, el establecimiento 
de normas, la verificacion y auditorfa de la informacion de la configuracion y la actualizacion del repositorio de configuracion conforme 
se necesite. Una efectiva administracion de la configuracion facilita una mayor disponibilidad, minimiza los problemas de produccion y 
resuelve los problemas mas rapido. 


Control sobre el proceso Tl de 
Administrar la configuracion 

Que satisface el requerimiento del negocio de Tl para 

Optimizar la infraestructura, recursos y capacidades de Tl, y llevar registro de los activos de Tl. 

Enfocandose en 

Establecer y mantener un repositorio completo y preciso de atributos de la configuracion de los activos y de Ifneas 
base y compararlos contra la configuracion actual 

Se logra con 

• El establecimiento de un repositorio central de todos los elementos de la configuracion 

• La identificacion de los elementos de configuracion y su mantenimiento 

• Revision de la integridad de los datos de configuracion 

Y se mide con 

• El numero de problemas de cumplimiento del negocio debido a inadecuada configuracion de 
los activos. 

• El numero de desviaciones identificadas entre el repositorio de configuracion y la 
configuracion actual de los activos. 

• Porcentaje de licencias compradas y no registradas en el repositorio 


Planeary 

Organizar 

Adquirire 

Implementar 

Entregar y 
Dar Soporte 

Monitoreary 

Evaluar 
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DS9 


Entregar y Dar Soporte 

Administrar la Configuracion 


Objetivos de Control 

DS9 Administrar la Configuracion 

DS9.1 Repositorio y Lfnea Base de Configuracion 

Establecer una herramienta de soporte y un repositorio central que contenga toda la informacion relevante sobre los elementos de 
configuracion. Monitorear y grabar todos los activos y los cambios a los activos. Mantener una lfnea base de los elementos de la 
configuracion para todos los sistemas y servicios como punto de comprobacion al que volver tras el cambio. 

DS9.2 Identificacion y Mantenimiento de Elementos de Configuracion 

Establecer procedimientos de configuracion para soportar la gestion y rastro de todos los cambios al repositorio de configuracion. 
Integrar estos procedimientos con la gestion de cambios, gestion de incidentes y procedimientos de gestion de problemas. 

DS9.3 Revision de Integridad de la Configuracion 

Revisar periodicamente los datos de configuracion para verificar y confirmar la integridad de la configuracion actual e historica. 
Revisar periodicamente el software instalado contra la polftica de uso de software para identificar software personal o no licenciado o 
cualquier otra instancia de software en exceso del contrato de licenciamiento actual. Reportar, actuar y corregir errores y 
desviaciones. 
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Entregar y Dar Soporte 

Administrar la Configuracion 


DS9 


Directrices Gerenciales 

DS9 Administrar la Configuracion 


Desde 

Entradas 

AI4 

Manuales, de usuario, tecnicos, de soporte y de 
administracion 

AI7 

Elementos de configuracion liberados 

DS4 

Criticidad de los elementos de configuracion de Tl 


Salidas 

Hacia 

Configuracion de Tl / detalles de activos 

DS8 

DS10 

DS13 





RFC (donde y como aplicar el parche) 

AI6 







Reportes de desempeno del proceso 

ME1 









Una matriz RACI identifica quien es Responsable, quien debe rendir cuentas (A), quien debe ser Consultado y/o Informado 


Metas y Metricas 


* Optimizar la infraestructura, los recursos 
y las capacidades de Tl. 

* Protege r y registrar tod os los activos de 
Tl. 


Procesos 


• Establecer un repositorio de todos los 
activos, atributos de configuracion y 
Ifneas base. 

• Mantener la integridad del repositorio 
de configuracion. 

• Revisar la configuracion actual de los 
activos para comprobar el cumplimiento 
con las Ifneas base del repositorio. 


Mide 


Z'r, 


* # de problemas de cumplimiento del 
negocio causados por una inadecuada 
configuracion de los activos. 




Actividades 


' Establecer un repositorio central para 
todos los elementos de configuracion. 

' Identificar de los elementos de 
configuracion y mantener la informacion 
de la configuracion. 

' Revisar la integridad de la informacion 
de configuracion. 


Mide 


% 


’ # de desviaciones identificadas entre el 
repositorio de configuracion y las 
configuraciones actuales de activos. 

’ % de licencias compradas y no 
registradas en el repositorio. 


Mide 


* Lapso promedio de tiempo entre la 
identificacion y la rectificacion de una 
discrepancia. 

' # de discrepancies relacionadas con la 
falta de informacion sobre la 
configuracion. 

' % de elementos de configuracion 
alineados con los niveles de servicio 
respecto a desempeno, seguridad y 
disponibilidad. 
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DS9 


Entregar y Dar Soporte 

Administrar la Configuracion 


Modelo de Madurez 

DS9 Administrar la Configuracion 

La administracion del proceso d e Administrar la configuracion que satisfaga el requerimiento de Tl del negocio de optimizarla 
infraestructura, /os recursos y las capacidades de Tl, y rendir cuentas de /os act/Vos de Tl es: 

0 No Existente cuando 

La gerencia no valora los beneficios de tener un proceso implementado que sea capaz de reportar y administrar las configuraciones 
de la infraestructura de Tl, tanto para configuraciones de hardware como de software. 

1 Inicial / Ad Hoc cuando 

Se reconoce la necesidad de contar con una administracion de configuracion. Se llevan a cabo tareas basicas de administracion de 
configuraciones, tales como mantener inventarios de hardware y software pero de manera individual. No estan definidas practicas 
estandarizadas. 

2 Repetible pero Intuitivo cuando 

La gerencia esta conciente de la necesidad de controlar ia configuracion de Tl y entiende los beneficios de mantener informacion 
completa y precisa sobre las configuraciones, pero hay una dependencia implfcita del conocimiento y experiencia del personal 
tecnico. Las herramientas para la administracion de configuraciones se utilizan hasta cierto grado, pero difieren entre plataformas. 
Ademas no se han definido practicas estandarizadas de trabajo. Ei contenido de la informacion de la configuracion es limitado y no lo 
utilizan los procesos interrelacionados, tales como administracion de cambios y administracion de problemas. 

3 Definido cuando 

Los procedimientos y las practicas de trabajo se han documentado, estandarizado y comunicado, pero la entrenamiento y la 
aplicacion de estandares dependen del individuo. Ademas se han implementado herramientas similares de administracion de 
configuracion entre plataformas. Es poco probable detectar las desviaciones de los procedimientos y las verificaciones fisicas se 
realizan de manera inconsistente. Se Neva a cabo algun tipo de automatizacion para ayudar a rastrear cambios en el software o en el 
hardware. La informacion de la configuracion es utilizada por los procesos interrelacionados. 

4 Administrado y Medible cuando 

En todos los niveles de la organizacion se reconoce la necesidad de administrar ia configuracion y las buenas practicas siguen 
evolucionando. Los procedimientos y los estandares se comunican e incorporan a la entrenamiento y las desviaciones son 
monitoreadas, rastreadas y reportadas. Se utilizan herramientas automatizadas para fomentar el uso de estandares y mejorar la 
estabilidad. Los sistemas de administracion de configuraciones cubren la mayoria de los activos de Tl y permiten una adecuada 
administracion de liberaciones y control de distribucion. Los analisis de excepciones, asf como las verificaciones ffsicas, se aplican de 
manera consistente y se investigan las causas desde su rafz. 

5 Optimizado cuando 

Todos los activos de Tl se administran en un sistema central de configuraciones que contiene toda la informacion necesaria acerca de 
los componentes, sus interrelaciones y eventos. La informacion de las configuraciones esta alineada con los catalogos de los 
proveedores. Hay una completa integracion de los procesos interrelacionados, y estos utilizan y actualizan la informacion de la 
configuracion de manera automatica. Los reportes de auditorfa de los puntos de referencia, brindan informacion esencial sobre el 
software y hardware con respecto a reparaciones, servicios, garantfas, actualizaciones y evaluaciones tecnicas de cada unidad 
individual. Se fomentan las reglas para iimitar la instalacion de software no autorizado. La gerencia proyecta las reparaciones y las 
actualizaciones utilizando reportes de analisis que proporcionan funciones de programacion de actualizaciones y de renovacion de 
tecnologfa. El rastreo de activos y el monitoreo de activos individuales de Tl ios protege y previene de robo, de mal uso y de abusos. 
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Entregar y Dar Soporte TJC 1 f\ 

Administracion de Problemas -B— ^ -B_ v 


Descripcion DEL Proceso. 


DSIO Administracion de Problemas 

Una efectiva administracion de problemas requiere la identificacion y clasificacion de problemas, el analisis de las causas desde su 
rafz, y la resolucion de problemas. El proceso de administracion de problemas tambien incluye la identificacion de recomendaciones 
para la mejora, el mantenimiento de registros de problemas y la revision del estatus de las acciones correctivas. Un efectivo proceso 
de administracion de problemas mejora los niveles de servicio, reduce costos y mejora la conveniencia y satisfaccion del usuario 


Planeary 

Organizar 


Adquirir e 
Implementar 

1 

Entregar y 

Dar Soporte 


Monitoreary 

Evaluar 

1 



Administracion de problemas 


Que satisface el requerimiento del negocio de Tl para 


Garantizar la satisfaccion de los usuarios finales con ofrecimientos de servicios y niveles de servicio, reducir el retrabajo y 
los defectos en la prestacion de los servicios y de las soluciones 


Enfocandose en 


Registrar, rastrear y resolver problemas operativos; investigacion de las causas rafz de todos los problemas 
relevantes y definir soluciones para los problemas operativos identificados 

Se logra con 

• Realizando un analisis de causas rafz de los problemas reportados 

• Analizando las tendencias 

• Tomando propiedad de los problemas y con una resolucion de problemas progresiva. 

Y se mide con 

• Numero de problemas recurrentes con impacto en el negocio 

• Porcentaje de problemas resueltos dentro del perfodo de tiempo solicitado 

• Frecuencia de los reportes o actualizaciones sobre un problema en curso, con base en la 
severidad del problema 
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DS10 


Entregar y Dar Soporte 

Administracion de Problemas 


Objetivos de Control 

DSIO Administracion de Problemas 

DSlO.l Identificacion y Clasificacion de Problemas 

Implementar procesos para reportar y clasificar problemas que han sido identificados como parte de la administracion de incidentes. 
Los pasos involucrados en la clasificacion de problemas son similares a los pasos para clasificar incidentes; son determinar la 
categorfa, impacto, urgencia y prioridad. Los problemas deben categorizar se de manera apropiada en grupos o dominios 
relacionados (por ejemplo, hardware, software, software de soporte). Estos grupos pueden coincidir con las responsabilidades 
organizacionales o con la base de usuarios y clientes, y son la base para asignar los problemas al personal de soporte. 

DS10.2 Rastreo y Resolucion de Problemas 

El sistema de administracion de problemas debe mantener pistas de auditona adecuadas que permitan rastrear, analizar y 
determinar la causa rafz de todos los problemas reportados considerando: 

• Todos los elementos de configuracion asociados 

• Problemas e incidentes sobresalientes 

• Errores conocidos y sospechados 

• Seguimiento de las tendencias de los problemas. 

Identificar e iniciar soluciones sostenibles indicando la causa rafz, incrementando las solicitudes de cambio por medio del proceso de 
administracion de cambios establecido. En todo el proceso de resolucion, la administracion de problemas debe obtener reportes 
regulares de la administracion de cambios sobre el progreso en la resolucion de problemas o errores. La administracion de problemas 
debe monitorear el continuo impacto de los problemas y errores conocidos en los servicios a los usuarios. En caso de que el impacto 
se vuelva severo, la administracion de problemas debe escalar el problema, tal vez refiriendolo a un comite determinado para 
incrementar la prioridad de la solicitud del cambio (RFC) o para implementar un cambio urgente, lo que resulte mas pertinente. El 
avance de la resolucion de un problema debe ser monitoreado contra los SLAs. 

DS10.3 Cierre de Problemas 

Disponer de un procedimiento para cerrar registros de problemas ya sea despues de confirmar la eliminacion exitosa del error 
conocido o despues de acordar con el negocio como manejar el problema de manera alternativa. 

DS10.4 Integracion de las Administraciones de Cambios, Configuracion y Problemas 

Para garantizar una adecuada administracion de problemas e incidentes, integrar los procesos relacionados de administracion de 
cambios, configuracion y problemas. Monitorear cuanto esfuerzo se aplica en apagar fuegos, en lugar de permitir mejoras al negocio 
y, en los casos que sean necesarios, mejorar estos procesos para minimizar los problemas. 
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Entregar y Dar Soporte TJC 1 f\ 

Administracion de Problemas -B— ^ v 


Directrices Gerenciales 

DS10 Administracion de Problemas 


Salidas 

Hacia 

Solicitud de cambio 

AI6 







Registros de problemas 

AI6 







Reportes de desempeho del proceso 

ME1 







Problemas conocidos, errores conocidos y 
soluciones alternas 

DS8 








Desde 

Entradas 

AI6 

Autorizacion de cambio 

DS8 

Reportes de incidentes 

DS9 

Detalles de activos / configuracion de Tl 

DS13 

Bitacoras de errores 



' Garantizar la satisfaccion de los usuarios 
finales con ofrecimientos de servicios y 
niveles de servicio. 

' Reducir el re-trabajo y los defectos de la 
solucion y de la prestacion de servicios. 

' Proteger el logro de los objetivos de Tl 


Procesos 


Registrar y rastrear problemas de 
operacion hasta su resolucion. 
Investigar las causas rafz de todos los 
problemas significativos. 

Definir soluciones para los problemas 
operativos identificados. 


Mide 


Z'O 




Mide 


' # de problemas recurrentes con impacto 
al negocio. 

’ # de interrupciones al negocio 
ocasionadas por problemas operativos. 


' % de problemas registrados y 
rastreados. 

' % de problemas recurrentes (en un 
periodo de tiempo) por severidad. 

' % de problemas resueltos en el tiempo 
requerido. 

' # de problemas 
abiertos/nuevos/cerrados por 
severidad. 

' Desviacion promedio y estandar del 
lapso de tiempo entre la identificacion 
del problema ysu resolucion. 

' Desviacion promedio y estandar del 
lapso de tiempo entre la resolucion del 
oroblema v su cierre. 


Actividades 


Dar suficiente autoridad al gerente de 
problemas. 

Hacer analisis de causa rafz de los 
problemas reportados. 

Analizar tendencias. 

Tomar propiedad de los problemas y del 
progreso de la resolucion de problemas. 






Mide 


• Duracion promedio entre el registro de 
un problema y la identificacion de la 
causa rafz. 

• % de problemas para los cuales se 
realizo un analisis de causa rafz. 

• La frecuencia de reportes o 
actualizaciones de un problema en 
curso, con base en la severidad del 
problema. 
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DS10 


Entregar y Dar Soporte 

Administracion de Problemas 


Modelo DE Madurez 

DSIO Administracion de Problemas 

La administracion del proceso de Administrar problemas que satisfaga el requerimiento de negocio de Tl de garantizar la satisfaccion 
de /os usuarios finales con ofrecimientos de servicios y niveles de servicio, y reducir el retrabajo y /os defectos de la prestacion de /os 
s ervicios y de las soluciones es: 

0 No Existente cuando 

No hay conciencia sobre la necesidad de administrar problemas, y no hay diferencia entre problemas e incidentes. Por lo tanto, no se 
han hecho intentos por identificar la causa ralz de los incidentes. 

1 Inicial / Ad Hoc cuando 

Los individuos reconocen la necesidad de administrar los problemas y de revolver las causas de fondo. Algunos individuos expertos 
clave brindan asesorfa sobre problemas relacionados a su area de experiencia, pero no esta asignada la responsabilidad para la 
administracion de problemas. La informacion no se comparte, resultando en la creacion de nuevos problemas y la perdida de tiempo 
productivo mientras se buscan respuestas. 

2 Repetible pero Intuitivo cuando 

Hay una amplia conciencia sobre la necesidad y los beneficios de administrar los problemas relacionados con Tl, tanto dentro de las 
areas de negocio como en la funcion de servicios de informacion. El proceso de resolucion ha evolucionado un punto en el que unos 
cuantos individuos clave son responsables de identificar y resolver los problemas. La informacion se comparte entre el personal de 
manera informal y reactiva. El nivel de servicio hacia la comunidad usuaria varia y es obstaculizado por la falta de conocimiento 
estructurado a disposicion del administrador de problemas. 

3 Definido cuando 

Se acepta la necesidad de un sistema integrado de administracion de problemas y se evidencia con el apoyo de la gerencia y la 
asignacion de presupuesto para personal y entrenamiento. Se estandarizan los procesos de escalamiento y resolucion de problemas. 
El registro y rastreo de problemas y de sus soluciones se dividen dentro del equipo de respuesta, utilizando las herramientas 
disponibles sin centralizar. Es poco probable detectar las desviaciones de los estandares y de las normas establecidas. La 
informacion se comparte entre el personal de manera formal y proactiva. La revision de incidentes y los analisis de identificacion y 
resolucion de problemas son limitados e informales. 

4 Administrado y Medible cuando 

El proceso de administracion de problemas se entiende a todos los niveles de la organizacion. Las responsabilidades y la propiedad 
de los problemas estan claramente establecidas. Los metodos y los procedimientos son documentados, comunicados y medidos para 
evaluarsu efectividad. La mayoria de los problemas estan identificados, registrados y reportados, y su solucion ha iniciado. El 
conocimiento y la experiencia se cultivan, mantienen y desarrollan hacia un nivel mas alto a medida que la funcion es vista como un 
activo y una gran contribucion al logro de las metas de Tl y a la mejora de los servicios de Tl. La administracion de problemas esta 
bien integrada con los procesos interrelacionados, tales como administracion de incidentes, de cambios, y de configuracion, y ayuda a 
los clientes para administrar informacion, instalaciones y operaciones. Se han acordado los KPIs y KGIs para el proceso de 
administracion de problemas. 

5 Optimizado cuando 

El proceso de administracion de problemas ha evolucionado a un proceso proactivo y preventivo, que contribuye con los objetivos de 
Tl. Los problemas se anticipan y previenen. El conocimiento respecto a patrones de problemas pasados y futuros se mantiene a 
traves de contactos regulares con proveedores y expertos. El registro, reporte y analisis de problemas y soluciones esta integrado por 
completo con la administracion de datos de configuracion. Los KPIs y KGIs son medidos de manera consistente. La mayorfa de los 
sistemas estan equipados con mecanismos automaticos de advertencia y deteccion, los cuales son rastreados y evaluados de 
manera continua. El proceso de administracion de problemas se analiza para buscar la mejora continua con base en los KPIs y KGIs y 
se reporta a los interesados. 
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Entregar y Dar Soporte T\ C|j 

Administracion de Datos -M— ^ -M. 


Descripcion DEL Proceso 

DS11 Administracion de Datos 

Una efectiva administracion de datos requiere de la identificacion de requerimientos de datos, El proceso de administracion de 
informacion tambien incluye el establecimiento de procedimientos efectivos para administrar la libreria de medios, el respaldo y la 
recuperacion de datos y la eliminacion apropiada de medios. Una efectiva administracion de datos ayuda a garantizar la calidad, 
oportunidad y disponibilidad de la informacion del negocio. 


Planeary Organizar 

1 

Adquirir e 
Implementar 


Entregar y 

Dar Soporte 

Monitoreary 

Evaluar 

1 



Administracion de datos 


Que satisface el requerimiento del negocio de Tl para 

Optimizar el uso de la informacion y garantizar la disponibilidad de la informacion cuando se requiera. 

Enfocandose en 

Mantener la integridad, exactitud, disponibilidad y proteccion de los datos 

Se logra con 

• Respaldando los datos y probando la restauracion 

• Administrando almacenamiento de datos en sitio y fuera de sitio. 

• Desechando de manera segura los datos y el equipo 

Y se mide con 

• Satisfaccion del usuario con la disponibilidad de los datos. 

• Porcentaje de restauraciones exitosas de datos. 

• Numero de incidentes en los que tuvo que recuperarse datos sensitivos despues que los 
medios habfan sido desechados 
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DS11 


Entregar y Dar Soporte 

Administracion de Datos 


Objetivos de Control 

DS11 Administracion de Datos 

DSll.l Requerimientos del Negocio para Administracion de Datos 

Verificar que todos los datos que se espera procesar se reciben y procesan completamente, de forma precisa y a tiempo, y que todos 
los resultados se entregan de acuerdo a los requerimientos de negocio. Las necesidades de reinicio y reproceso estan soportadas. 

DS11.2 Acuerdos de Almacenamiento y Conservacion 

Definir e implementar procedimientos para el archivo, almacenamiento y retencion de los datos, de forma efectiva y eficiente para 
conseguir los objetivos de negocio, la politica de seguridad de la organizacion y los requerimientos regulatorios. 

DS11.3 Sistema de Administracion de Librerfas de Medios 

Definir e implementar procedimientos para mantener un inventario de medios almacenados y archivados para asegurar su usabilidad 
e integridad. 

DS11.4 Eliminacion 

Definir e implementar procedimientos para asegurar que los requerimientos de negocio para la proteccion de datos sensitivos y el 
software se consiguen cuando se eliminan o transfieren los datos y/o el hardware. 

DS11.5 Respaldo y Restauracion 

Definir e implementar procedimientos de respaldo y restauracion de los sistemas, aplicaciones, datos y documentacion en Ifnea con 
los requerimientos de negocio y el plan de continuidad. 

DS11.6 Requerimientos de Seguridad para la Administracion de Datos 

Definir e implementar las politicas y procedimientos para identificar y aplicar los requerimientos de seguridad aplicables al recibo, 
procesamiento, almacen y salida de los datos para conseguir los objetivos de negocio, las politicas de seguridad de la organizacion y 
requerimientos regulatorios. 
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Administracion de Datos -M. 


Directrices Gerenciales 

DS11 Administracion de Datos 


1 Salidas 

Hacia 

Reportes de desempeho del proceso 

ME1 







Instrucciones del operador para administracion 
de datos 

DS13 








Desde 

Entradas 

P02 

Diccionario de datos; clasificaciones de datos asignados 

AI4 

Manuales de usuario, de operacion, de soporte, tecnicos y de 


administracion 

DS1 

OLAs 

DS4 

Plan de proteccion y de almacenamiento de respaldos 



Una matriz RACl identifica quien es Responsable, quien debe rendir cuentas (A), quien debe ser Consultado y/o Informado 


Metas y Metricas 


• Optimizar el uso de informacion. 

• Garantizar que la informacion crftica y 
confidencial se mantiene oculta contra 
quienes no deben tener acceso a ella. 

• Garantizar que Tl cumpla con las leyes y, 
regulaciones. 


Procesos 


• Mantener la completitud, exactitud, 
validez y accesibilidad de los datos 
almacenados. 

• Asegurar los datos durante el desecho 
de medios 

• Administrar de manera efectiva el 
almacenamiento de medios. 


Mide 


z'o 




Actividades 


• Respaldo de datos y prueba de 
restauracion. 

• Administracion de almacenamiento de 
datos en sitio y fuera del sitio. 

• Desecho seguro de datos y equipo. 


Mide 


Z'r, 




Mide 



• Numero de eventos donde se presente 


• % de restauraciones de datos exitosas. 


• Frecuencia de las prueba de los medios 


incapacidad para recuperar informacion 


• # de incidentes en los que se 


de respaldo. 


crftica para el proceso de negocio. 


recuperaron datos de medios y equipos 


• Tiempo promedio del tiempo de 


• Satisfaccion del usuario con la 


ya desechados. 


restauracion de datos. 


disponibilidad de la informacion. 


• # de incidentes de falta de servicio o de 




• Incidentes de incumplimiento de las 


integridad de informacion causados por 




leyes debido a problemas con la 


falta de capacidad de almacenamiento. 



■H* 

administracion del almacenamiento. 





'<u 

2 
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DS11 


Entregar y Dar Soporte 

Administracion de Datos 


Modelo DE Madurez 

DS11 Administracion de Datos 

La administracion del proceso de Administrar /os datos que satisfaga el requerimiento de negocio de Tl de optimizar el uso de la 
informacion y garantizar la disponibilidad de la informacion cuando se requiera es: 

0 No Existente cuando 

Los datos no son reconocidos como parte de los recursos y los activos de ia empresa. No esta asignada la propiedad sobre los datos 
o sobre la rendicion de cuentas individual sobre la administracion de los datos. La calidad y la seguridad de los datos son deficientes 

0 inexistentes. 

1 Inicial / Ad Hoc cuando 

La organizacion reconoce la necesidad de una correcta administracion de los datos. Hay un metodo adecuado para especificar 
requerimientos de seguridad en la administracion de datos, pero no hay procedimientos implementados de comunicacion formal. No 
se Neva a cabo entrenamiento especffica sobre administracion de los datos. La responsabilidad sobre la administracion de los datos 
no es clara. Los procedimientos de respaldo y recuperacion y los acuerdos sobre desechos estan en orden. 

2 Repetible pero Intuitivo cuando 

A lo largo de toda la organizacion existe conciencia sobre la necesidad de una adecuada administracion de los datos. A un alto nivel 
empieza a observarse la propiedad o responsabilidad sobre los datos. Los requerimientos de seguridad para la administracion de 
datos son documentados por individuos clave. Se Neva a cabo algun tipo de monitoreo dentro de Tl sobre algunas actividades clave 
de la administracion de datos (respaldos, recuperacion y desecho). Las responsabilidades para la administracion de datos son 
asignadas de manera informal a personal clave de Tl. 

3 Definido cuando 

Se entiende y acepta la necesidad de la administracion de datos, tanto dentro de Tl como a lo largo de toda la organizacion. Se 
establece la responsabilidad sobre la administracion de los datos. Se asigna la propiedad sobre los datos a la parte responsable que 
controla la integridad y la seguridad. Los procedimientos de administracion de datos se formalizan dentro de Tl y se utilizan algunas 
herramientas para respaldos / recuperacion y desecho de equipo. Se Neva a cabo algun tipo de monitoreo sobre la administracion de 
datos. Se definen metricas basicas de desempeno. Comienza a aparecer el entrenamiento sobre administracion de informacion. 

4 Administrado y Medible cuando 

Se entiende la necesidad de la administracion de los datos y las acciones requeridas son aceptadas a lo largo de toda la organizacion. 
La responsabilidad de la propiedad y la administracion de los datos estan definidas, asignada y comunicada de forma clara en la 
organizacion. Los procedimientos se formalizan y son ampliamente conocidos, el conocimiento se comparte. Comienza a aparecer el 
uso de herramientas. Se acuerdan con los clientes los indicadores de desempeno y meta y se monitorean por medio de un proceso 
bien definido. Se Neva a cabo entrenamiento formal para el personal de administracion de los datos. 

5 Optimizado cuando 

Se entiende y acepta dentro de la organizacion la necesidad de realizar todas las actividades requeridas para la administracion de 
datos. Las necesidades y los requerimientos futures son explorados de manera proactiva. Las responsabilidades sobre la propiedad 
de los datos y la administracion de los mismos estan establecidas de forma clara, se conocen ampliamente a lo largo de la 
organizacion y se actualizan periodicamente. Los procedimientos se formalizan y se conocen ampliamente, la comparticion del 
conocimiento es una practica estandar. Se utilizan herramientas sofisticadas con un maximo de automatizacion de la administracion 
de los datos. Se acuerdan con los clientes los indicadores de desempeno y meta, se ligan con los objetivos del negocio y se 
monitorean de manera regular utilizando un proceso bien definido. Se exploran constantemente oportunidades de mejora. El 
entrenamiento para el personal de administracion de datos se institucionaliza. 
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Entregar y Dar Soporte ^ 

Administracion del Ambiente Ffsico -B— ^ -B- Md 


Descripcion DEL Proceso. 

DS12 Administracion del Ambiente Ffsico 

La proteccion del equipo de computo y del personal, requiere de instalaciones bien disenadas y bien administradas. El proceso de 
administrar el ambiente ffsico incluye la definicion de los requerimientos ffsicos del centra de datos (site), la seleccion de 
instalaciones apropiadas y el disefio de procesos efectivos para monitorear factores ambientales y administrar el acceso ffsico. La 
administracion efectiva del ambiente ffsico reduce las interrupciones del negocio ocasionadas por dafios al equipo de computo y al 
personal. 



Administracion del ambiente ffsico 


Planear y 

Organizar 


Adquirire 

Implementar 

1 

Entregar y 

Dar Soporte 


Monitorear y 

Evaluar 

1 


Que satisface el requerimiento del negocio de Tl para 

Proteger los activos de computo y la informacion del negocio minimizando el riesgo de una interrupcion del servicio 

Enfocandose en 

Proporcionar y mantener un ambiente ffsico adecuado para proteger los activos de Tl contra acceso, dano o robo 

Se logra con 

• Implementando medidas de seguridad ffsicas. 

• Seleccionando y administrando las instalaciones 

Y se mide con 

• Tiempo sin servicio ocasionado por incidentes relacionados con el ambiente ffsico 

• Numero de incidentes ocasionados por fallas o brechas de seguridad ffsica 

• Frecuencia de revision y evaluacion de riesgos ffsicos. 
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DS12 


Entregar y Dar Soporte 

Administracion del Ambiente Ffsico 


Objetivos de Control 

DS12 Administracion del Ambiente Ffsico 

DS12.1 Seleccion y Diseno del Centro de Datos 

Definir y seleccionar los centros de datos ffsicos para el equipo de Tl para soportar la estrategia de tecnologfa ligada a la estrategia 
del negocio. Esta seleccion y diseno del esquema de un centro de datos debe tomar en cuenta el riesgo asociado con desastres 
naturales y causados por el hombre. Tambien debe considerar las leyes y regulaciones correspondientes, tales como regulaciones de 
seguridad y de salud en el trabajo. 

DS12.2 Medidas de Seguridad Ffsica 

Definir e implementar medidas de seguridad ffsicas alineadas con los requerimientos del negocio. Las medidas deben incluir, pero no 
limitarse al esquema del perfmetro de seguridad, de las zonas de seguridad, la ubicacion de equipo crftico y de las areas de envio y 
recepcion. En particular, mantenga un perfil bajo respecto a la presencia de operaciones crfticas de TL Deben establecerse las 
responsabilidades sobre el monitoreo y los procedimientos de reporte y de resolucion de incidentes de seguridad ffsica. 

DS12.3 Acceso Ffsico 

Definir e implementar procedimientos para otorgar, limitar y revocar el acceso a locales, edificios y areas de acuerdo con las 
necesidades del negocio, incluyendo las emergencias. El acceso a locales, edificios y areas debe justificarse, autorizarse, registrarse y 
monitorearse. Esto aplica para todas las personas que accedan a las instalaciones, incluyendo personal, clientes, proveedores, 
visitantes o cualquier tercera persona. 

DS12.4 Proteccion Contra Factores Ambientales 

Disenar e implementar medidas de proteccion contra factores ambientales. Deben instalarse dispositivos y equipo especializado para 
monitorear y controlar el ambiente. 

DS12.5 Administracion de Instalaciones Ffsicas 

Administrar las instalaciones, incluyendo el equipo de comunicaciones y de suministro de energfa, de acuerdo con las leyes y los 
reglamentos, los requerimientos tecnicos y del negocio, las especificaciones del proveedor y los lineamientos de seguridad y salud. 
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Entregar y Dar Soporte 0 

Administracion del Ambiente Ffsico -M- Md 


Directrices Gerenciales 

DS12 Administracion del Ambiente Ffsico 


Salidas 

Hacia j 

| Reportes de desempeho de los procesos 

ME1 | | | | | 


Desde 

Entradas 

P02 

Clasificaciones asignadas a los datos 

P09 

Evaluacion de riesgo 

AI3 

Requerimientos del ambiente ffsico 



' Garantizar que los servicios y la 
infraestructura de Tl puede resistir y 
recuperarse de forma apropiada de 
fallas ocasionadas por un error, ataque 
deliberado o desastre. 

' Garantizar que la informacion crftica y 
confidencial esta resguardada de 
quienes no deben tener acceso a ella. 

' Garantizar el mfnimo impacto al negocio 
en caso de un cambio o una 
interrupcion de un servicio de Tl. 

' Proteger y registrar todos los activos de 
Tl. 


Mide 


' Tiempo sin servicio ocasionado por 
incidentes del ambiente ffsico. 

' # de lesiones causadas por el ambiente 
ffsico. 

' Riesgos de seguridad causados por 
incidentes de seguridad ffsica. 


Procesos 


Brindar y mantener un ambiente ffsico 
adecuado para los recursos y la 
infraestructura de Tl. 

Restringir el acceso al ambiente ffsico a 
aquellos que no requieren el acceso. 


Actividades 


* Implementacion de medidas ffsicas de 
seguridad 

* Administracion y seleccion rigurosa de 
las instalaciones 


s/Ov,. T Mide 


’ # de incidentes causados por fallas o 
violaciones a la seguridad ffsica 
’ # de incidentes causados por acceso no 
autorizado a las instalaciones de 
computo 


ZfO 




Mide 


• Frecuencia de entrenamiento del 
personal respecto a medidas de 
proteccion, de seguridad y de 
instalaciones. 

• % de personal entrenado en medidas de 
proteccion, seguridad y de instalaciones. 

• # de pruebas de mitigacion de riesgos 
realizadas en el ultimo ano. 

• Frecuencia de las revisiones y 
evaluaciones de riesgo ffsico. 
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DS12 


Entregar y Dar Soporte 

Administracion del Ambiente Ffsico 


Modelo de Madurez 

DS12 Administracion del Ambiente Ffsico 

La administracion del proceso de Administrar el ambiente ffsico que satisface el requerimiento del negocio de Tl de proteger /os 
activos de Tl y la informacion del negocio y minimizar el riesgo de interrupciones en el negocio es: 

0 No Existente cuando 

No hay conciencia sobre la necesidad de proteger las instalaciones o la inversion en recursos de computo. Los factores ambientales 
tales como proteccion contra fuego, polvo, tierra y exceso de calor y humedad no se controlan ni se monitorean. 

1 Inicial / Ad Hoc cuando 

La organizacion reconoce la necesidad de contar con un ambiente ffsico que proteja los recursos y el personal contra peligros 
naturales y causados por el hombre. La administracion de instalaciones y de equipo depende de las habilidades de individuos clave. 

El personal se puede mover dentro de las instalaciones sin restriccion. La gerencia no monitorea los controles ambientales de las 
instalaciones o el movimiento del personal. 

2 Repetible pero Intuitivo cuando 

Los controles ambientales se implementan y monitorean por parte del personal de operaciones. La seguridad ffsica es un proceso 
informal, realizado por un pequeho grupo de empleados con alto nivel de preocupacion por asegurar las instalaciones ffsicas. Los 
procedimientos de mantenimiento de instalaciones no estan bien documentados y dependen de las buenas practicas de unos 
cuantos individuos. Las metas de seguridad ffsica no se basan en estandares formales y la gerencia no se asegura de que se cumplan 
los objetivos de seguridad. 

3 Definido cuando 

Se entiende y acepta a lo largo de toda la organizacion la necesidad de mantener un ambiente de computo controlado. Los controles 
ambientales, el mantenimiento preventivo y la seguridad ffsica cuentan con presupuesto autorizado y rastreado por la gerencia. Se 
aplican restricciones de acceso, permitiendo el ingreso a las instalaciones de computo solo al personal aprobado. Los visitantes se 
registran y acompahan dependiendo del individuo. Las instalaciones ffsicas mantienen un perfil bajo y no son reconocibles de manera 
facil. Las autoridades civiles monitorean al cumplimiento con los reglamentos de salud y seguridad. Los riesgos se aseguran con el 
mfnimo esfuerzo para optimizar los costos del seguro. 

4 Administrado y Medible cuando 

Se establecen criterios formales y estandarizados para definir los terminos de un acuerdo, incluyendo alcance del trabajo, 
servicios/entregables a suministrar, suposiciones, cronograma, costos, acuerdos de facturacion y responsabilidades. Se asignan las 
responsabilidades para la administracion del contrato y del proveedor. Las aptitudes, capacidades y riesgos del proveedor son 
verificadas de forma continua. Los requerimientos del servicio estan definidos y alineados con los objetivos del negocio. Existe un 
proceso para comparar el desempeho contra los terminos contractuales, lo cual proporciona informacion para evaluar los servicios 
actuales y futuros del tercero. Se utilizan modelos de fijacion de precios de transferencia en el proceso de adquisicion. Todas las 
partes involucradas tienen conocimiento de las expectativas del servicio, de los costos y de las etapas. Se acordaron los KPIs y KGIs 
para la supervision del servicio. 

5 Optimizado cuando 

Hay un plan acordado a largo plazo para las instalaciones requeridas para soportar el ambiente computo de la organizacion. Los 
estandares estan definidos para todas las instalaciones, incluyendo la seleccion del centro de computo, construccion, vigilancia, 
seguridad personal, sistemas electricos y mecanicos, proteccion contra factores ambientales (por ejemplo, fuego, rayos, 
inundaciones, etc.). Se clasifican y se hacen inventarios de todas las instalaciones de acuerdo con el proceso continuo de 
administracion de riesgos de la organizacion. El acceso es monitoreado continuamente y controlado estrictamente con base en las 
necesidades del trabajo, los visitantes son acompahados en todo momento. El ambiente se monitorea y controla por medio de equipo 
especializado y las salas de equipo funcionan sin operadores humanos. Los KPIs y KGIs se miden regularmente. Los programas de 
mantenimiento preventivo fomentan un estricto apego a los horarios y se aplican pruebas regulares a los equipos sensibles. Las 
estrategias de instalaciones y de estandares estan alineadas con las metas de disponibilidad de los servicios de Tl y estan integradas 
con la administracion de crisis y con la planeacion de continuidad del negocio. La gerencia revisa y optimiza las instalaciones 
utilizando los KPIs y KGIs de manera continua, capitalizando oportunidades para mejorar la contribucion al negocio 
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Entregar y Dar Soporte ^ 

Administracion de Operaciones -B— ^ -B- ^7 


Descripcion DEL Proceso. 

DS13 Administracion de Operaciones 

Un procesamiento de informacion completo y apropiado requiere de una efectiva administracion del procesamiento de datos y del 
mantenimiento del hardware. Este proceso incluye la definicion de polfticas y procedimientos de operacion para una administracion 
efectiva del procesamiento programado, proteccion de datos de saiida sensitivos, monitoreo de infraestructura y mantenimiento 
preventivo de hardware. Una efectiva administracion de operaciones ayuda a mantener la integridad de los datos y reduce los 
retrasos en el trabajo y los costos operativos de Tl. 



Administrar operaciones 


Planeary 

Organizar 


Adquirire 

Implementar 

1 

Entregar y 

Dar Soporte 


Monitoreary 

Evaluar 

1 


Que satisface el requerimiento del negocio de Tl para 

Mantener la integridad de los datos y garantizar que la infraestructura de Tl puede resistir y recuperase de errores y fallas 

Enfocandose en 

Cumplir con los niveles operativos de servicio para procesamiento de datos programado, proteccion de datos de 
saiida sensitivos y monitoreo y mantenimiento de la infraestructura 

Se logra con 

• Operando el ambiente de Tl en Ifnea con los niveles de servicio acordados y con las instrucciones 
definidas 

• Manteniendo la infraestructura de Tl 

Y se mide con 

• Numero de niveles de servicio afectados a causa de incidentes en la operacion. 

• Horas no planeadas de tiempo sin servicio a causa de incidentes en la operacion. 

• Porcentaje de activos de hardware incluidos en los programas de mantenimiento. 
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T\ C “I '1 Entregar y Dar Soporte 

-B— ^ k_7 %-/ Administracion de Operaciones 


Objetivos de Control 

DS13 Administracion de Operaciones 

DS13.1 Procedimientos e Instrucciones de Operacion 

Definir, implementar y mantener procedimientos estandar para operaciones de Tl y garantizar que el personal de operaciones esta 
familiarizado con todas las tareas de operacion relativas a ellos. Los procedimientos de operacion deben cubrir los procesos de 
entrega de turno (transferencia formal de la actividad, estatus, actualizaciones, problemas de operacion, procedimientos de 
escalamiento, y reportes sobre las responsabilidades actuales) para garantizar la continuidad de las operaciones. 

DS13.2 Programacion de Tareas 

Organizar la programacion de trabajos, procesos y tareas en la secuencia mas eficiente, maximizando el desempefio y la utilizacion 
para cumplir con los requerimientos del negocio. Deben autorizarse los programas iniciales asf como los cambios a estos programas. 
Los procedimientos deben implementarse para identificar, investigar y aprobar las salidas de los programas estandar agendados. 

DS13.3 Monitoreo de la Infraestructura de Tl 

Definir e implementar procedimientos para monitorear la infraestructura de Tl y los eventos relacionados. Garantizar que en los 
registros de operacion se almacena suficiente informacion cronologica para permitir la reconstruccion, revision y analisis de las 
secuencias de tiempo de las operaciones y de las otras actividades que soportan o que estan alrededor de las operaciones. 

DS13.4 Documentos Sensitivos y Dispositivos de Salida 

Establecer resguardos ffsicos, practicas de registro y administracion de inventarios adecuados sobre los activos de Tl mas sensitivos 
tales como formas, instrumentos negociables, impresoras de uso especial o dispositivos de seguridad. 

DS13.5 Mantenimiento Preventive del Hardware 

Definir e implementar procedimientos para garantizar el mantenimiento oportuno de la infraestructura para reducir la frecuencia y el 
impacto de las fallas o de la disminucion del desempefio. 
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Entregar y Dar Soporte ^ 

Administracion de Operaciones -M- ^7 


Directrices Gerenciales 


DS13 Administracion de Operaciones 


Desde 

Entradas 

AI4 

Manuales de usuario, tecnicos, operacion y administracion. 

AI7 

Promocion a produccion y liberacion del software y planes de 
distribucion 

DS1 

SLAs y OLAS 

DS4 

Plan de almacenamiento y proteccion de respaldos 

DS9 

Configuracion de Tl / detalle de los activos de Tl 

DS11 

Instrucciones del operador para administracion de datos 


1 Salidas 

Hacia 

Tiquetes de incidentes 

DS8 







Bitacoras de errores 

DS10 







Reportes de desempeno de los procesos 

ME1 









Matriz RACI 


Funciones 


Actividades 



Crear/ modifioar prooedimientos de operacidn (incluyendo manuales, planes de cambios, 
procedimientos de escalamiento, etc) 






fi/R 





1 

Programacion de cargas de trabajo y de programas en lote 





C 

A/R 

C 

C 




Monitorear la infraestructura y procesar y resolver problemas 






A/R 





i 

Administrary asegurar la salida ffsica de informacion (reportes, medios, etc) 






A/R 





C 

Aplicar cambios o arreglos al programa y la infraestructura 





C 

A/R 

C 

C 



c 

Implementar/ establecer un proceso para salvaguardar los dispositivos de autenticacion 
contra interference, perdida o robo 




A 


R 



1 


c 

Programary llevar a cabo mantenimiento preventivo 






A/R 







Una matrlz RACI identifica auien es Resoonsable. auien debe rendir ouentas (Al. auien debe ser Consultado v/o Informado 


Metas y Metricas 


* Garantizar que los servicios y la 
infraestructura de Tl puedan resistir y 
recuperarse de fallas ocasionadas por 
errores, ataques deliberados o 
desastres. 

' Garantizar la satisfaccion de los 
usuarios finales con ofrecimientos de 
servicios y niveles de servicio. 

' Asegurar que los servicios de Tl estan 
disponibles conforme se requieran. 


Procesos 


• Definir procedimientos de operacion y 
alinearlos con los niveles de servicio 
acordados. 

• Realizar el procesamiento de solicitudes 
especiales de acuerdo a los niveles de 
servicio acordados. 

• Brindar resguardos fisicos para la 
informacion sensible. 


Actividades 


• Operacion del ambiente de Tl de 
acuerdo con los niveles de servicio 
acordados, con instrucciones definidas y 
con supervision cercana. 

• Mantenimiento preventivo y monitoreo 
de la infraestructura de Tl. 


Mide 


Z'O 




Mide 


t'n 




Mide 



• # de niveles de servicio impactados por 


• # de incidentes de tiempo sin servicio 


• # de dfas de entrenamiento por afio 


incidentes operativos. 


causados por la desviacion de los 


para el personal de operaciones. 


• Horas de tiempo sin servicio no 


procedimientos de operaciones. 


• % de activos de hardware incluidos en 


planeadas causadas por incidentes en 


• % peticiones y trabajos programados 


los programas de mantenimiento 


la operacion. 


que no se cumplen a tiempo. 


preventivo. 




• # de incidentes de tiempo sin servicio y 


• % de planes de trabajo automatizados. 

ra 



de retrasos causados por 


• Frecuencia de actualizacion de los 

■»-> 



procedimientos inadecuados. 


procedimientos operativos. 

5 
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T\ C “I '1 Entregar y Dar Soporte 

-B— ^ k_7 %-/ Administracion de Operaciones 


Modelo de Madurez 

DS13 Administracion de Operaciones 

La administracion del proceso de Administrar las operaciones que satisface el requerimiento de negocio de Tl de mantener la 
integridad de la informacion y garantizar que la infraestructura de Tl pueda resistiry recuperarse de errores y fallos es: 

0 No Existente cuando 

La organizacion no dedica tiempo y recursos al establecimiento de soporte basico de Tl y a actividades operativas. 

1 Inicial / Ad Hoc cuando 

La organizacion reconoce la necesidad de estructurar las funciones de soporte de Tl. Se establecen algunos procedimientos estandar 
y las actividades de operaciones son de naturaleza reactiva. La mayona de los procesos de operacion son programados de manera 
informal y el procesamiento de peticiones se acepta sin validacion previa. Las computadoras, sistemas y aplicaciones que soportan 
los procesos del negocio con frecuencia no estan disponibles, se interrumpen o retrasan. Se pierde tiempo mientras los empleados 
esperan recursos. Los medios de salida aparecen ocasionalmente en lugares inesperados o no aparecen 

2 Repetible pero Intuitivo cuando 

La organizacion esta conciente del rol clave que las actividades de operaciones de Tl juegan en brindar funciones de soporte de Tl. Se 
asignan presupuestos para herramientas con un criterio de caso por caso. Las operaciones de soporte de Tl son informales e 
intuitivas. Hay una alta dependencia sobre las habilidades de los individuos. Las instrucciones de que hacer, cuando y en que orden 
no estan documentadas. Existe algo de entrenamiento para el operador y hay algunos estandares de operacion formales. 

3 Definido cuando 

Se entiende y acepta dentro de la organizacion la necesidad de administrar las operaciones de computo. Se han asignado recursos y 
se Neva a cabo alguna entrenamiento durante el trabajo. Las funciones repetitivas estan definidas, estandarizadas, documentadas y 
comunicadas de manera formal. Los resultados de las tareas completadas y de los eventos se registran, con reportes limitados hacia 
la gerencia. Se introduce el uso de herramientas de programacion automatizadas y de otras herramientas para limitar la intervencion 
del operador. Se introducen controles para colocar nuevos trabajos en operacion. Se desarrolla una politica formal para reducir el 
numero de eventos no programados. Los acuerdos de servicio y mantenimiento con proveedores siguen siendo de naturaleza 
informal. 

4 Administrado y Medible cuando 

Las operaciones de computo y las responsabilidades de soporte estan definidas de forma clara y la propiedad esta asignada. Las 
operaciones se soportan a traves de presupuestos de recursos para gastos de capital y de recursos humanos. La entrenamiento se 
formaliza y esta en proceso. Las programaciones y las tareas se documentan y comunican, tanto a la funcion interna de Tl como a los 
clientes del negocio. Es posible medir y monitorear las actividades diarias con acuerdos estandarizados de desempeno y de niveles de 
servicio establecidos. Cualquier desviacion de las normas establecidas es atendida y corregida de forma rapida. La gerencia 
monitorea el uso de los recursos de computo y la terminacion del trabajo o de las tareas asignadas. Existe un esfuerzo permanente 
para incrementar el nivel de automatizacion de procesos como un medio de mejora continua. Se establecen convenios formales de 
mantenimiento y servicio con los proveedores. Hay una completa alineacion con los procesos de administracion de problemas, 
capacidad y disponibilidad, soportados por un analisis de causas de errores y fallas. 

5 Optimizado cuando 

Las operaciones de soporte de Tl son efectivas, eficientes y suficientemente flexibles para cumplir con las necesidades de niveles de 
servicio con una perdida de productividad minima. Los procesos de administracion de operaciones de Tl estan estandarizados y 
documentados en una base de conocimiento, y estan sujetos a una mejora continua. Los procesos automatizados que soportan los 
sistemas contribuyen a un ambiente estable. Todos los problemas y fallas se analizan para identificar la causa que los origino. Las 
reuniones periodicas con los responsables de administracion del cambio garantizan la inclusion oportuna de cambios en las 
programaciones de produccion. En colaboracion con los proveedores, el equipo se analiza respecto a posibles sfntomas de 
obsolescencia y fallas, y el mantenimiento es principalmente de naturaleza preventiva. 
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Monitorear y Evaluar 

ME1 Monitorear y Evaluar el Desempeno de Tl 
ME2 Monitorear y Evaluar el Control Interno 
ME3 Garantizar el Cumplimiento Regulatorio 
ME4 Proporcionar Gobierno de Tl 



Monitorear y Evaluar 1 

Monitorear y Evaluar el Desempeno de Tl ..A. 


Descripcion DEL Proceso. 


ME1 Monitorear y Evaluar el Desempeno de Tl 


Una efectiva administracion del desempeno de Tl requiere un proceso de monitoreo. El proceso incluye la definicion de indicadores de 
desempeno relevantes, reportes sistematicos y oportunos de desempeno y tomar medidas expeditas cuando existan desviaciones. El 
monitoreo se requiere para garantizar que las cosas correctas se hagan y que esten de acuerdo con el conjunto de direcciones y 
polfticas. 



Planeary 

Organizar 


Adquirire 

Implementar 


Entregar y Dar 
Soporte 

1 

Monitorear y 
Evaluar 



Monitorear y evaluar el desempeno de Tl 

Que satisface el requerimiento del negocio de Tl para 

Transparencia y entendimiento de los costos, beneficios, estrategia, polfticas y niveles de servicio de Tl de acuerdo con los 
requisitos de gobierno 


Enfocandose en 


Monitorear y reportar las metricas del proceso e identificar e implementar acciones de mejoramiento del 
desempeno 

Se logra con 

• Cotejar y traducir los reportes de desempeno de proceso a reportes gerenciales 

• Comparar el desempeno contra las metas acordadas e iniciar las medidas correctivas necesarias 

Y se mide con 

• Satisfaccion de la gerencia y de la entidad de gobierno con los reportes de desempeno 

• Numero de acciones de mejoramiento impulsadas por las actividades de monitoreo 

• Porcentaje de procesos crfticos monitoreados 
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IVTIh 1 1 Monitorear y Evaluar 

-i- ▼ AXJ -M- Monitorear y Evaluar el Desempeno de Tl 


Objetivos de Control 

ME1 Monitorear y Evaluar el Desempeno de Tl 

MEl.l Enfoque del Monitoreo 

Establecer un marco de trabajo de monitoreo general y un enfoque que definan el alcance, la metodologia y el proceso a seguir para 
medir la solucion y la entrega de servicios de Tl, y Monitorear la contribucion de Tl al negocio. Integrar el marco de trabajo con el 
sistema de administracion del desempeno corporativo. 

ME1.2 Definicion y Recoleccion de Datos de Monitoreo 

Trabajar con el negocio para definir un conjunto balanceado de objetivos de desempeno y tenerlos aprobados por el negocio y otros 
interesados relevantes. Definir referencias con las que comparar los objetivos, e identificar datos disponibles a recolectar para medir 
los objetivos. Se deben establecer procesos para recolectar informacion oportuna y precisa para reportar el avance contra las metas. 

ME1.3 Metodo de Monitoreo 

Garantizar que el proceso de monitoreo implante un metodo (Ej. Balanced Scorecard), que brinde una vision sucinta y desde todos los 
angulos del desempeno de Tl y que se adapte al sistema de monitoreo de la empresa. 

ME1.4 Evaluacion del Desempeno 

Comparar de forma periodica el desempeno contra las metas, realizar analisis de la causa ralz e iniciar medidas correctivas para 
resolver las causas subyacentes. 

ME1.5 Reportes al Consejo Directivo y a Ejecutivos 

Proporcionar reportes administrativos para ser revisados por la alta direccion sobre el avance de la organizacion hacia metas 
identificadas, especfficamente en terminos del desempeno del portafolio empresarial de programas de inversion habilitados por Tl, 
niveles de servicio de programas individuales y la contribucion de Tl a ese desempeno. Los reportes de estatus deben incluir el grado 
en el que se han alcanzado los objetivos planeados, los entregables obtenidos, las metas de desempeno alcanzadas y los riesgos 
mitigados. Durante la revision, se debe identificar cualquier desviacion respecto al desempeno esperado y se deben iniciar y reportar 
las medidas de administracion adecuadas. 

ME1.6 Acciones Correctivas 

Identificar e iniciar medidas correctivas basadas en el monitoreo del desempeno, evaluacion y reportes. Esto incluye el seguimiento 
de todo el monitoreo, de los reportes y de las evaluaciones con: 

• Revision, negociacion y establecimiento de respuestas de administracion 

• Asignacion de responsabilidades por la correccion 

• Rastreo de los resultados de las acciones comprometidas. 
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Monitorear y Evaluar 1 

Monitorear y Evaluar el Desempeno de Tl 


Directrices Gerenciales 

ME1 Monitorear y evaluar el desempeno de Tl 


Desde 

Entradas 

P05 

Reportes de costo-beneficio 

P010 

Reportes de desempeno del proyecto 

AI6 

Reportes del estatus de los cambios 

DS1-13 

Reportes de desempeno del proceso 

DS8 

Reportes de satisfaccion del usuario 

ME2 

Reportes de la efectividad de los controles de Tl 

ME3 

Reportes sobre el cumplimiento de las actividades 
de Tl respecto a requerimientos legales y 
regulatorios externos 

ME4 

Reportes sobre el estatus del gobierno de Tl 


Salidas 

Hacia 


Indicadores de desempeno a planeacion de 

Tl 

P01 

P02 

DS1 





Planes de acciones correctivas 

P04 

P08 






Tendencias y eventos de riesgos historicos 

P09 







Reporte de desempeno del proceso 

ME2 









' Responder a los requerimientos de gobierno 
de acuerdo a la directriz del consejo de 
Direccion. 

’ Responder a los requerimientos del negocio 
en alineacion con la estrategia del negocio. 

’ Garantizar que Tl demuestre una calidad de 
servicio eficiente en costos, mejora continua y 
preparation para cambios futuros 

' Garantizar la transparencia y el entendimientc 
de los costos, beneficios, estrategia, polfticas 
y niveles de servicio de Tl 


Mide 


| • # de cambios a las metas para los 

indicadores de efectividad y eficiencia de los 
procesos de Tl 

* Satisfaccion de la gerencia y de la entidad de 
gobierno con los reportes de desempeno 

* Reducido # de deficiencias de los procesos 
sobresalientes 


Procesos 


• Establecer objetivos, KGIs y KPIs medibles 
para Tl, asf como procesos clave 

• Medir, monitorear y reportar metricas de 
proceso 

• Identificar e Implementar acciones de 
mejoramiento del desempeno 


Z'r, 




Mide 


• Satisfaccion de los interesados con el proceso 
de medicion 

• % de procesos crfticos monitoreados 

• # de acciones de mejoramiento impulsadas 
por las actividades de monitoreo 

• # de metas de desempeno alcanzadas 
(indicadores en control) 


qj 

-Q 

re 

(S) 

LU 


Mide 


• Demora entre el reporte de la deficiencia y el 
inicio de la action 

• Demora en la actualization de mediciones que 
reflejen los objetivos, las mediciones, las 
metas y los benchmarks actuales. 

• # de metricas (por proceso) 

• # de relaciones causa efecto identificadas e 
incorporadas en el monitoreo 

• Esfuerzo requerido para recolectar datos de 
medicion 

• # de problemas no identificados por el 
proceso de medicion 

• % de metricas que se pueden evaluar por 

comparacion contra estandares de la industria 
v metas establecidas 



Actividades 


• Capturar, cotejar y traducir los reportes de 
desempeno de procesos en reportes 
gerenciales 

• Comparar el desempeno contra las metas 
acordadas e iniciar las medidas correctivas 
necesarias 
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IVTIh 1 1 Monitorear y Evaluar 

-i- ▼ AXJ -M- Monitorear y Evaluar el Desempeno de Tl 


Modelo de Madurez 

ME1 Monitorear y Evaluar el Desempeno de Tl 

La administracion del proceso de Monitorear y evaluar el desempeno de Tl que satisfaga los requerimientos de negocio para Tl de 
transparencia y entendimiento de los costos, beneficios, estrategia, pollticas y niveles de servicio de Tl, de acuerdo con los requisitos 
de gobierno es: 

0 No Existente cuando 

La organization no cuenta con un proceso implantado de monitoreo. Tl no Neva a cabo monitoreo de proyectos o procesos de forma 
independiente. No se cuenta con reportes utiles, oportunos y precisos. La necesidad de entender de forma clara los objetivos de los 
procesos no se reconoce. 

1 Inicial / Ad Hoc cuando 

La gerencia reconoce una necesidad de recolectar y evaluar informacion sobre los procesos de monitoreo. No se han identificado 
procesos estandar de recoleccion y evaluacion. El monitoreo se implanta y las metricas se seleccionan de acuerdo a cada caso, de 
acuerdo a las necesidades de proyectos y procesos de Tl especfficos. El monitoreo por lo general se implanta de forma reactiva a 
algun incidente que ha ocasionado alguna perdida o verguenza a la organizacion. La funcion de contabilidad monitorea mediciones 
financieras basicas para Tl. 

2 Repetible pero Intuitivo cuando 

Se han identificado algunas mediciones basicas a ser monitoreadas. Los metodos y las tecnicas de recoleccion y evaluacion existen, 
pero los procesos no se han adoptado en toda la organizacion. La interpretacion de los resultados del monitoreo se basa en la 
experiencia de individuos clave. Herramientas limitadas son seleccionadas y se implantan para recolectar informacion, pero esta 
recoleccion no se basa en un enfoque planeado. 

3 Definido cuando 

La gerencia ha comunicado e institucionalizado un procesos estandar de monitoreo. Se han implantado programas educacionales y 
de entrenamiento para el monitoreo. Se ha desarrollado una base de conocimiento formalizada del desempeno historico. Las 
evaluaciones todavfa se realizan al nivel de procesos y proyectos individuales de Tl y no estan integradas a traves de todos los 
procesos. Se han definido herramientas para monitorear los procesos y los niveles de servicio de Tl. Las mediciones de la 
contribucion de la funcion de servicios de informacion al desempeno de la organizacion se han definido, usando criterios financieras y 
operativos tradicionales. Las mediciones del desempeno especificas de Tl, las mediciones no financieras, las estrategicas, las de 
satisfaccion del cliente y los niveles de servicio estan definidas. Se ha definido un marco de trabajo para medir el desempeno. 

4 Administrado y Medible cuando 

La gerencia ha definido las tolerancias bajo las cuales los procesos deben operar. Los reportes de los resultados del monitoreo estan 
en proceso de estandarizarse y normalizarse. Hay una integracion de metricas a lo largo de todos los proyectos y procesos de Tl. Los 
sistemas de reporte de la administracion de Tl estan formalizados. Las herramientas automatizadas estan integradas y se aprovechan 
en toda la organizacion para recolectar y monitorear la informacion operativa de las aplicaciones, sistemas y procesos. La gerencia 
puede evaluar el desempeno con base en criterios acordados y aprobados por las terceras partes interesadas. Las mediciones de la 
funcion de Tl estan alienadas con las metas de toda la organizacion. 

5 Optimizado cuando 

Un proceso de mejora continua de la calidad se ha desarrollado para actualizar los estandares y las polfticas de monitoreo a nivel 
organizacional incorporando mejores practicas de la industria. Todos los procesos de monitoreo estan optimizados y dan soporte a los 
objetivos de toda la organizacion. Las metricas impulsadas por el negocio se usan de forma rutinaria para medir el desempeno, y 
estan integradas en los marcos de trabajo estrategicos, tales como el Balanced Scorecard. El monitoreo de los procesos y el rediseho 
continuo son consistentes con los planes de mejora de los procesos de negocio en toda la organizacion. Benchmarks contra la 
industria y los competidores clave se han formalizado, con criterios de comparacion bien entendidos. 
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Monitorear y Evaluar el Control Interno -i- ▼ -M-M-Urnd 


DESCRIPCION DEL Proceso. 


ME2 Monitorear y Evaluar el Control Interno 


Establecer un programa de control interno efectivo para Tl requiere un proceso bien definido de monitoreo. Este proceso incluye el 
monitoreo y el reporte de las excepciones de control, resultados de las auto-evaluaciones y revisiones por parte de terceros. Un 
beneficio clave del monitoreo del control interno es proporcionar seguridad respecto a las operaciones eficientes y efectivas y el 
cumplimiento de las leyes y regulaciones aplicables. 



Monitorear y evaluar el control interno 

Que satisface el requerimiento del negocio de Tl para 

Proteger el logro de los objetivos de Tl y cumplir las leyes y reglamentos relacionados con Tl 

Enfocandose en 


Planeary 

Organizar 


Adquirire 

Implementar 


Entregar y Dar 
Soporte 

1 

Monitorear y 
Evaluar 



El monitoreo de los procesos de control interno para las actividades relacionadas con Tl e identificar las acciones 
de mejoramiento 

Se logra con 

• La definicion de un sistema de controles internos integrados en el marco de trabajo de los procesos 
de Tl 

• Monitorear y reportar la efectividad de los controles internos sobre Tl 

• Reportar las excepciones de control a la gerencia para tomar acciones 

Y se mide con 

• Numero de brechas importantes del control interno 

• Numero de iniciativas para la mejora del control 

• Numero y cubrimiento de auto evaluaciones de control 
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Monitorear y Evaluar 

-i- ▼ -IAj* Monitorear y Evaluar el Control Interno 


Objetivos de Control 

ME2 Monitorear y Evaluar el Control Interno 

ME2.1 Monitoreo del Marco de Trabajo de Control Interno 

Monitorear de forma continua, comparar y mejorar el ambiente de control de Tl y el marco de trabajo de control de Tl para satisfacer 
los objetivos organizacionales. 

ME2.2 Revisiones de Auditoria 

Monitorear y evaluar la eficiencia y efectividad de los controles internos de revision de la gerencia de Tl. 

ME2.3 Excepciones de Control 

Identificar las excepciones de control, y analizar e identificar sus causas rafz subyacentes. Escalar las excepciones de control y 
reportar a los interesados apropiadamente. Establecer acciones correctivas necesarias. 

ME2.4 Auto Evaluacion del Control 

Evaluar la completitud y efectividad de los controles de gerencia sobre los procesos, polfticas y contratos de Tl por medio de un 
programa continuo de auto-evaluacion. 

ME2.5 Aseguramiento del Control Interno 

Obtener, segun sea necesario, aseguramiento adicional de la completitud y efectividad de los controles internos por medio de 
revisiones de terceros. 

ME2.6 Control Interno para Terceros 

Evaluar el estado de los controles internos de los proveedores de servicios externos. Confirmar que los proveedores de servicios 
externos cumplen con los requerimientos legales y regulatorios y obligaciones contractuales. 

ME2.7 Acciones Correctivas 

Identificar, iniciar, rastrear e implementar acciones correctivas derivadas de los controles de evaluacion y los informes. 
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Monitorear y Evaluar el Control Interno -i- ▼ 


Directrices Gerenciales 

ME2 Monitorear y Evaluar el Control Interno 


Desde 

Entradas 

AI7 

Monitoreo de Controles Internos 

ME1 

Reporte de desempeno de procesos 


Salidas 

Hacia 

Reporte sobre la efectividad de los controles 
de Tl 

P04 

P06 

ME1 

ME4 






' Garantizar que los servicios y la 
infraestructura de Tl pueden resistir y 
recuperarse apropiadamente de fallas 
debidas a error, ataque deliberado o 
desastre. 

' Proteger el logro de los objetivos de Tl 

' Garantizar el cumplimiento de Tl con las 
leyes y regulaciones 

' Proteger y registrar todos los activos de 
Tl 


Mide 


' Indice de satisfaccion y contort de la alta 
direccion con los reportes de vigilancia 
del control interno 

' # de brechas importantes de control 
interno 


Procesos 


Monitorear el logro de los objetivos de 
control interno establecidos para los 
procesos de Tl 

Identificar las acciones de mejoramiento 
para el control interno 


Actividades 


Definir un sistema de controles internos 
integrado al marco de trabajo de 
procesos de Tl 

Monitorear y reporter la efectividad de 
los controles internos sobre Tl 
Reportar las excepciones de control a la 
gerencia para tomar acciones 


Mide 

’ Frecuencia de incidentes de control 
interno 

’ # de debilidades identificadas por 
reportes externos de calificacion y 
certificacion 

’ #de iniciativas para mejorar el control 

’ # de eventos regulatorios o legales que 
no cumplen. 

’ # de acciones oportunas sobre 
problemas de control interno 






Mide 


' # y cobertura de auto-evaluaciones de 
control 

' # y cobertura de controles internos 
sujetos a revisiones de auditorfa 
• Tiempo transcurrido entre la ocurrencia 
de una deficiencia de control interno y el 
reporte de esta 

' #, frecuencia y cobertura de reportes de 
cumplimiento interno 
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Monitorear y Evaluar 

-i- ▼ -IAj* Monitorear y Evaluar el Control Interno 


Modelo de Madurez 

ME2 Monitorear y Evaluar el Control Interno 

La administracion del proceso de Monitorear y evaluar el control interno que satisfaga el requerimiento de negocio de Tl de proteger 
el logro de /os objetivos de Tlycumplircon las leyes y regulaciones retacionadas con Tl es: 

0 No Existente cuando 

La organization carece de procedimientos para monitorear la efectividad de los controles internos. Los metodos de reporte de control 
interno gerenciales no existen. Existe una falta generalizada de conciencia sobre la seguridad operativa y el aseguramiento del control 
interno de Tl. La gerencia y los empleados no tienen conciencia general sobre el control interno. 

1 Inicial / Ad Hoc cuando 

La gerencia reconoce la necesidad de administrar y asegurar el control de Tl de forma regular. La experiencia individual para evaluar 
la suficiencia del control interno se aplica de forma ad hoc. La gerencia de Tl no ha asignado de manera formal las responsabilidades 
para monitorear la efectividad de los controles internos. Las evaluaciones de control interno de Tl se realizan como parte de las 
auditorfas financieras tradicionales, con metodologfas y habilidades que no reflejan las necesidades de la funcion de los servicios de 
informacion. 

2 Repetible pero Intuitivo cuando 

La organizacion utiliza reportes de control informales para comenzar iniciativas de accion correctiva. La evaluacion del control interno 
depende de las habilidades de individuos clave. La organizacion tiene una mayor conciencia sobre el monitoreo de los controles 
internos. La gerencia de servicios de informacion realiza monitoreo periodico sobre la efectividad de lo que considera controles 
internos criticos. Se estan empezando a usar metodologfas y herramientas para monitorear los controles internos, aunque no se 
basan en un plan. Los factores de riesgo especfficos del ambiente de Tl se identifican con base en las habilidades de individuos. 

3 Definido cuando 

La gerencia apoya y ha institucionalizado el monitoreo del control interno. Se han desarrollado polfticas y procedimientos para evaluar 
y reportar las actividades de monitoreo del control interno. Se ha definido un programa de educacion y entrenamiento para el 
monitoreo del control interno. Se ha definido tambien un proceso para auto-evaluaciones y revisiones de aseguramiento del control 
interno, con roles definidos para los responsables de la administracion del negocio y de Tl. Se usan herramientas, aunque no 
necesariamente estan integradas en todos los procesos. Las polfticas de evaluacion de riesgos de los procesos de Tl se utilizan 
dentro de los marcos de trabajo desarrollados de manera especffica para la funcion de Tl. Se han definido polfticas para el manejo y 
mitigacion de riesgos especfficos de procesos. 

4 Administrado y Medible cuando 

La gerencia tiene implantado un marco de trabajo para el monitoreo del control interno de Tl. La organizacion ha establecido niveles 
de tolerancia para el proceso de monitoreo del control interno. Se han implantado herramientas para estandarizar evaluaciones y 
para detectar de forma automatica las excepciones de control. Se ha establecido una funcion formal para el control interno de Tl, con 
profesionales especializados y certificados que utilizan un marco de trabajo de control formal avalado por la alta direccion. Un equipo 
calificado de Tl participa de forma rutinaria en las evaluaciones de control interno. Se ha establecido una base de datos de metricas 
para informacion historica sobre el monitoreo del control interno. Se realizan revisiones entre pares para verificar el monitoreo del 
control interno. 

5 Optimizado cuando 

La gerencia tiene implantado un marco de trabajo para el monitoreo del control interno de Tl. La organizacion ha establecido niveles 
de tolerancia para el proceso de monitoreo del control interno. Se han implantado herramientas para estandarizar evaluaciones y 
para detectar de forma automatica las excepciones de control. Se ha establecido una funcion formal para el control interno de Tl, con 
profesionales especializados y certificados que utilizan un marco de trabajo de control formal avalado por la alta direccion. Un equipo 
calificado de Tl participa de forma rutinaria en las evaluaciones de control interno. Se ha establecido una base de datos de metricas 
para informacion historica sobre el monitoreo del control interno. Se realizan revisiones entre pares para verificar el monitoreo del 
control interno. 
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Monitorear y Evaluar 

Garantizar el Cumplimiento con Requerimientos Externos 

- 

IV 

[ 

I 

S3 


Descripcion del Proceso. 


ME3 Garantizar el Cumplimiento con Requerimientos Externos 


Una supervision efectiva del cumplimiento requiere del establecimiento de un proceso de revision para garantizar el cumplimiento de 
las leyes, regulaciones y requerimientos contractuales. Este proceso incluye la identificacion de requerimientos de cumplimiento, 
optimizando y evaluando la respuesta, obteniendo aseguramiento que los requerimientos se han cumplido y, finalmente integrando 
los reportes de cumplimiento de Tl con el resto del negocio. 


Control sobre el proceso Tl de 

Garantizar el cumplimiento regulatorio 


Planear y 

Organizar 


Adquirire 

Implementar 


Entregary Dar 
Soporte 

1 

Monitorear y 
Evaluar 




Que satisface el requerimiento del negocio de Tl para 


Cumplir las leyes y regulaciones 

Enfocandose en 


La identificacion de todas las leyes y regulaciones aplicables y el nivel correspondiente de cumplimiento de Tl y la 
optimizacion de los procesos de Tl para reducir el riesgo de no cumplimiento 

Se logra con 

• La identificacion de los requisitos legales y regulatorios relacionados con Tl 

• La evaluacion del impacto de los requisitos regulatorios 

• El monitoreo y reporte del cumplimiento de los requisitos regulatorios 

Y se mide con 

• El costo del no cumplimiento de Tl, incluyendo arreglos y multas 

• Tiempo promedio de demora entre la identificacion de los problemas externos de 
cumplimiento y su resolucion 

• Frecuencia de revisiones de cumplimiento 
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Monitorear y Evaluar 

-L ▼ -l-Jj*/ Garantizarel Cumplimiento con Requerimientos Externos 


Objetivos de Control 

ME3 Garantizar el Cumplimiento con Requerimientos Externos 

ME3.1 Identificar los Requerimientos de las Leyes, Regulaciones y Cumplimientos Contractuales 

Identificar, sobre una base continua, leyes locales e internacionales, regulaciones, y otros requerimientos externos que se deben de 
cumplir para incorporar en las polfticas, estandares, procedimientos y metodologfas de Tl de la organizacion. 

ME3.2 Optimizar la Respuesta a Requerimientos Externos 

Revisar y ajustar las polfticas, estandares, procedimientos y metodologfas de Tl para garantizar que los requisitos legales, regulatorios 
y contractuales son direccionados y comunicados. 

ME3.3 Evaluacion del Cumplimiento con Requerimientos Externos 

Confirmar el cumplimiento de polfticas, estandares, procedimientos y metodologfas de Tl con requerimientos legales y regulatorios. 

ME3.4 Aseguramiento Positivo del Cumplimiento 

Obtener y reportar garantfa de cumplimiento y adhesion a todas las polfticas internas derivadas de directivas internas o 
requerimientos legales externos, regulatorios o contractuales, confirmando que se ha tornado cualquier accion correctiva para 
resolver cualquier brecha de cumplimiento por el dueno responsable del proceso de forma oportuna. 

ME3.5 Reportes Integrados 

Integrar los reportes de Tl sobre requerimientos legales, regulatorios y contractuales con las salidas similares provenientes de otras 
funciones del negocio. 
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Monitorear y Evaluar 

Garantizar el Cumplimiento con Requerimientos Externos 

- 

IV 

[ 

I 

S3 


Directrices Gerenciales 


ME3 Garantizar el Cumplimiento con Requerimientos Externos 


Desde 

Entradas 

k 

Requerimientos de cumplimiento legal y regulatorio 

P06 

polfticas de Tl 


* Entradas provenientes de fuentes externas a COBIT 


Salidas 

Hacia 


Catalogo de requerimientos legales y 
regulatorios relacionados con la prestacion del 
servicio de Tl 

P04 

ME4 






Reporte sobre el cumplimiento de las 
actividades deTI con los requerimientos 
externos legales y regulatorios 

ME1 









Definir y ejecutar un proceso para identificar los requerimientos legales, contractuales de 
polfticas y regulatorios 




A/R 

C 

1 

1 

1 

c 

1 

R 


Evaluar cumplimiento de actividades de Tl con polfticas, estandares y procedimientos de Tl 

1 

1 

1 

A/R 

1 

R 

R 

R 

R 

R 

R 

1 

Reportar aseguramiento positivo del cumplimiento de las actividades de Tl con las polfticas, 
planes y procedimientos de Tl 




A/R 

C 

C 

C 

C 

C 

C 

R 


Brindar retro alimentacion para alinear las polfticas, estandares y procedimientos de Tl con 
los requerimientos de cumplimiento 




A/R 

C 

C 

C 

C 

C 


R 


Integrar los reportes de Tl sobre requerimientos regulatorios con similares provenientes de 
otras funciones del negocio 




A/R 


1 

1 

1 

R 

1 

R 



Una matriz RACI identifica quien es Responsable, quien debe rendir cuentas (A), quien debe ser Consultado y/o Informado 


Metas y Metricas 



Mide 


• Costo del no cumplimiento de Tl, incluyendo 
arreglos y multas 

• # de problemas de no cumplimiento 
reportados a I consejo directivo , o que hayan 
causado comentarios o verguenza publics 


(A 

ra 

u 

,o> 


a- 

u 

Q) 

_Q 

fC 


Procesos 


’ Identificar todas las leyes y regulaciones 
aplicables e identificar el nivel de 
cumplimiento de Tl 

’ Procurar la alineacion de las polfticas, 
estandares y procedimientos de Tl para 
manejar de forma eficiente los riesgos de no 
cumplimiento 

’ Minimizar el impacto al negocio de los 
eventos de cumplimiento identificados dentro 
de Tl 




_Q 

cc 


Actividades 


’ Identificar los requerimientos legales y 
regulatorios relacionados con Tl 
’ Entrenar al personal de Tl sobre su 
responsabilidad de cumplimiento 
' Evaluar el impacto de los requerimientos 
regulatorios 

’ Monitorear y reportar el cumplimiento de los 
requerimientos regulatorios 


Mide 




• # de problemas crfticos de no cumplimiento 
identificados por a no 

• Frecuencia de revisiones de cumplimiento 


Mide 


’ Demora promedio entre la identificacion de 
los eventos externos de cumplimiento y su 
resol ucion 

’ Retraso de tiempo promedio entre la 
publicacion de una nueva ley o regulacion y el 
inicio de la revision de cumplimiento 
’ Dias de entrenamiento por empleado de Tl 
por ano, referentes al cumplimiento 
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-L ▼ -l-Jj*/ Garantizarel Cumplimiento con Requerimientos Externos 


Modelo de Madurez 

ME3 Garantizar el Cumplimiento con Requerimientos Externos 

La administration del proceso de Garantizar el cumplimiento con requerimientos externos que satisfaga el requerimiento de negocio 
de Tl de asegurar el cumplimiento de las /eyes, regulaciones y requerimientos contractuales es: 

0 No Existente cuando 

Existe poca conciencia respecto a los requerimientos externos que afectan a Tl, sin procesos referentes al cumplimiento de requisitos 
regulatorios, legales y contractuales. 

1 Inicial / Ad Hoc cuando 

Existe conciencia de los requisitos de cumplimiento regulatorio, contractual y legal que tienen impacto en la organizacion. Se siguen 
procesos informales para mantener el cumplimiento, pero solo si la necesidad surge en nuevos proyectos o como respuesta a 
auditorfas o revisiones. 

2 Repetible pero Intuitivo cuando 

Existe el entendimiento de la necesidad de cumplir con los requerimientos externos y la necesidad se comunica. En los casos en que 
el cumplimiento se ha convertido en un requerimiento recurrente, como en los requerimientos financieros o en la legislacion de 
privacidad, se han desarrollado procedimientos individuales de cumplimiento y se siguen ano a ano. No existe, sin embargo, un 
enfoque estandar. Hay mucha confianza en el conocimiento y responsabilidad de los individuos, y los errores son posibles. Se brinda 
entrenamiento informal respecto a los requerimientos externos y a los temas de cumplimiento. 

3 Definido cuando 

Se han desarrollado, documentado y comunicado politicas, procedimientos y procesos, para garantizar el cumplimiento de los 
reglamentos y de las obligaciones contractuales y legales, pero algunas quiza no se sigan y algunas quiza esten desactualizadas o 
sean poco practicas de implementar. Se realiza poco monitoreo y existen requisitos de cumplimiento que no han sido resueltos. Se 
brinda entrenamiento sobre requisitos legales y regulatorios externos que afectan a la organizacion y se instruye respecto a los 
procesos de cumplimiento definidos. Existen contratos pro forma y procesos legales estandar para minimizar los riesgos asociados 
con las obligaciones contractuales. 

4 Administrado y Medible cuando 

Existe un entendimiento completo de los eventos y de la exposicion a requerimientos externos, y la necesidad de asegurar el 
cumplimiento a todos los niveles. Existe un esquema formal de entrenamiento que asegura que todo el equipo este consciente de sus 
obligaciones de cumplimiento. Las responsabilidades son claras y se entiende el empoderamiento de los procesos. El proceso incluye 
una revision del entorno para identificar requerimientos externos y cambios recurrentes. Existe un mecanismo implantado para 
monitorear el no cumplimiento de los requisitos externos, reforzar las practicas internas e implementar acciones correctivas. Los 
eventos de no cumplimiento se analizan de forma estandar en busca de las causas rafz, con el objetivo de identificar soluciones 
sostenibles. Buenas practicas internas estandarizadas se usan para necesidades especfficas tales como reglamentos vigentes y 
contratos recurrentes de servicio. 

5 Optimizado cuando 

Existe un proceso bien organizado, eficiente e implantado para cumplir con los requerimientos externos, basado en una sola funcion 
central que brinda orientacion y coordinacion a toda la organizacion. Hay un amplio conocimiento de los requerimientos externos 
aplicables, incluyendo sus tendencias futuras y cambios anticipados, asf como la necesidad de nuevas soluciones. La organizacion 
participa en discusiones externas con grupos regulatorios y de la industria para entender e influenciar los requerimientos externos 
que la puedan afectar. Se han desarrollado mejores practicas que aseguran el cumplimiento de los requisitos externos, y esto 
ocasiona que haya muy pocos casos de excepciones de cumplimiento. Existe un sistema central de rastreo para toda la organizacion, 
que permite a la gerencia documentar el flujo de trabajo, medir y mejorar la calidad y efectividad del proceso de monitoreo del 
cumplimiento. Un proceso externo de auto-evaluacion de requerimientos existe y se ha refinado hasta alcanzar el nivel de buena 
practica. El estilo y la cultura administrativa de la organizacion referente al cumplimiento es suficientemente fuerte, y se elaboran los 
procesos suficientemente bien para que el entrenamiento se limite al nuevo personal y siempre que ocurra un cambio significativo. 
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Monitorear y Evaluar lVTlT^ 

Proporcionar Gobierno de Tl 


Descripcion DEL Proceso. 

ME4 Proporcionar Gobierno de Tl 

El establecimiento de un marco de trabajo de gobierno efectivo, incluye la definicion de estructuras, procesos, liderazgo, roles y 
responsabilidades organizacionales para garantizar asf que las inversiones empresariales en Tl esten alineadas y de acuerdo con las 
estrategias y objetivos empresariales. 




Proporcionar gobierno de Tl 

Que satisface el requerimiento del negocio de Tl para 

La integracion de un gobierno de Tl con objetivos de gobierno corporativo y el cumplimiento con las leyes y regulaciones 

Enfocandose en 

La elaboracion de informes para el consejo directivo sobre la estrategia, el desempefio y los riesgos de Tl y 
responder a los requerimientos de gobierno de acuerdo a las directrices del consejo directivo 

Se logra con 

• El establecimiento de un marco de trabajo para el gobierno de Tl, integrado al gobierno corporativo 

• La obtencion de aseguramiento independientes sobre el estatus del gobierno de Tl 

Y se mide con 

• La frecuencia de informes del consejo directivo sobre Tl a los interesados (incluyendo el nivel 
de madurez) 

• La frecuencia de los reportes de Tl hacia el consejo directivo (incluyendo el nivel de madurez) 

• Frecuencia de revisiones independientes del cumplimiento de Tl 
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Monitorear y Evaluar 

Proporcionar Gobierno de Tl 


Objetivos de Control 

ME4 Proporcionar Gobierno de Tl 

ME4.1 Establecimiento de un Marco de Gobierno de Tl 

Definir, establecer y alinear el marco de gobierno de Tl con la vision completa del entorno de control y Gobierno Corporativo. Basar el 
marco de trabajo en un adecuado proceso de Tl y modelo de control y proporcionar la rendicion de cuentas y practicas inequfvocas 
para evitar una rotura en el control interno y la revision. Confirmar que el marco de gobierno de Tl asegura el cumplimiento con las 
leyes y regulaciones y que esta alineado, y confirma la entrega de, la estrategia y objetivos empresariales. Informa del estado y 
cuestiones de gobierno de Tl. 

ME4.2 Alineamiento Estrategico 

Facilitar el entendimiento del consejo directivo y de los ejecutivos sobre temas estrategicos de Tl tales como el rol de Tl, 
caracterfsticas propias y capacidades de la tecnologfa. Garantizar que existe un entendimiento compartido entre el negocio y la 
funcion de Tl sobre la contribucion potencial de Tl a la estrategia del negocio. Trabajar con el consejo directivo para definir e 
implementar organismos de gobierno, tales como un comite estrategico de Tl, para brindar una orientacion estrategica a la gerencia 
respecto a Tl, garantizando asf que tanto la estrategia como los objetivos se distribuyan en cascada hacia las unidades de negocio y 
hacia las unidades de Tl y que se desarrolle certidumbre y confianza entre el negocio y Tl. Facilitar la alineacion de Tl con el negocio 
en lo referente a estrategia y operaciones, fomentando la co-responsabilidad entre el negocio y Tl en la toma de decisiones 
estrategicas y en la obtencion de los beneficios provenientes de las inversiones habilitadas con Tl. 

ME4.3 Entrega de Valor 

Administrar los programas de inversion habilitados con Tl, asf como otros activos y servicios de Tl, para asegurar que ofrezcan el 
mayor valor posible para apoyar la estrategia y los objetivos empresariales. Asegurarse de que los resultados de negocio esperados 
de las inversiones habilitadas por Tl y el alcance completo del esfuerzo requerido para lograr esos resultados este bien entendido, 
que se generen casos de negocio integrales y consistentes, y que los aprueben los interesados, que los activos y las inversiones se 
administren a lo largo del ciclo de vida economico, y que se lleve a cabo una administracion activa del logro de los beneficios, tales 
como la contribucion a nuevos servicios, ganancias de eficiencia y un mejor grado de reaccion a los requerimientos de los clientes. 
Implementar un enfoque disciplinado de la administracion del portafolio, programa y proyecto, enfatizando que el negocio asume la 
propiedad de todas las inversiones habilitadas con Tl y que Tl garantiza la optimizacion de los costos por la prestacion de los servicios 
y capacidades de Tl. 

ME4.4 Administracion de Recursos 

Revisar inversion, uso y asignacion de los activos de Tl por medio de evaluaciones periodicas de las iniciativas y operaciones de Tl 
para asegurar recursos y alineamiento apropiados con los objetivos estrategicos y los imperatives de negocio actuales y futures. 

ME4.5 Administracion de Riesgos 

Trabajar con el consejo directivo para definir el nivel de riesgo de Tl aceptable por la empresa y obtener garantfa razonable que las 
practicas de administracion de riesgos de Tl son apropiadas para asegurar que el riesgo actual de Tl no excede el riesgo aceptable de 
direccion. Introducir las responsabilidades de administracion de riesgos en la organizacion, asegurando que el negocio y Tl 
regularmente evaluan y reportan riesgos relacionados con Tl y su impacto y que la posicion de los riesgos de Tl de la empresa es 
transparente a los interesados. 

ME4.6 Medicion del Desempefio 

Confirmar que los objetivos de Tl confirmados se han conseguido o excedido, o que el progreso hacia las metas de Tl cumple las 
expectativas. Donde los objetivos confirmados no se han alcanzado o el progreso no es el esperado, revisar las acciones correctivas 
de gerencia. Informar a direccion los portafolios relevantes, programas y desempenos de Tl, soportados por informes para permitir a 
la alta direccion revisar el progreso de la empresa hacia las metas identificadas. 

ME4.7 Aseguramiento Independiente 

Garantizar de forma independiente (interna o externa) la conformidad de Tl con la legislacion y regulacion relevante; las politicas de la 
organizacion, estandares y procedimientos; practicas generalmente aceptadas; y la efectividad y eficiencia del desempefio de Tl. 
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Monitorear y Evaluar lVTlT^ 

Proporcionar Gobierno de Tl 


Directrices Gerenciales 

ME4 Proporcionar Gobierno de Tl 


Salidas 

Hacia 

Mejoras al marco de trabajo de los procesos 

P04 







Reportar el estatus del gobierno de Tl 

P01 

ME1 






Resultados de negocio esperados de las 
inversiones en Tl 

P05 







Direccion estrategica empresarial para Tl 

P01 







Apetito empresarial de riesgos de Tl 

P09 








Desde Entradas 

P04 

Marco de trabajo del proceso de Tl 

P05 

Reportes de costo/beneficio 

P09 

Evaluacion y reportes de riesgo 

ME2 

Reportar la efectividad de los controles de Tl 

ME3 

Catalogo de requisites legales y regulatorios 
relacionados con la prestacion de servicios de Tl 



Establecer visibilidad y facilitacion del consejoy de los ejecutivos hacia las actividades de A R C C C C 

Tl 


Revisar, avalar, alinearycomunicares desempeno deTIJa estrategia deTI, el manejo de A R I I R C 

recursos y riesgos de Tl con respeoto a la estrategia empresarial 

Crear cuadro de mandos A R C I C I I I I I R_ 

Resolver los hallazgos de las evaluaciones independientesy garantizar la implantacion por A R C I C I I I I I R 

parte de la gerencia de las recomendaciones acordadas 

Generar un reporte de gobierno de Tl A C C C R C I I I II C_ 

Una matriz RACI identifica quien es Responsable, quien debe rendir ouentas (A), quien debe ser Consultado y/o Informado 


Metas y Metricas 


* Responder a los requerimientos de 
gobierno de acuerdo con las directrices 
del consejo directivo 

* Garantizar la transparencia y el 
entendimiento de los costos, beneficios, 
estrategias, polfticas y niveles de 
servicio de Tl 

* Garantizar que Tl cumpla las leyes y 
regulaciones 

' Asegurar que Tl demuestre una calidad 
de servicio eficiente en costo, mejora 
conti nua y presteza para cambios 
futuros 


Procesos 


' Integrar el gobierno de Tl a los objetivos 
del gobierno corporativo 

' Elaborar reportes completos y oportunos 
para el consejo directivo sobre la 
estrategia, el desempeno y los riesgos 
de Tl 

' Responder a las preocupaciones y 
consultas del consejo directivo respecto 
a la estrategia, desempeno y riesgos de 
Tl 

' Procurar aseguramiento independiente 
respecto al cumplimiento de las 
polfticas, estandares y procedimientos 
de Tl 


Actividades 


• Establecer un marco de trabajo para el 
gobierno de Tl integrado al gobierno 
corporativo 

• Obtener una garantfa independiente 
respecto a I estatus del gobierno de Tl 


Mide 


ZfO 


&? 


Mide 


Z'O 


tee 


Mide 



• # de veces que Tl se encuentra en la 
agenda del consejo directivo de manera 


• Frecuencia de reportes provenientes de 

• Tl hacia el consejo directivo (incluyendo 


• % del equipo entrenado en gobierno (ej. 
Codigos de conducta) 


proactiva 


el nivel de madurez) 


• # de ejecutivos eticos por departamento 


• Frecuencia de reportes del consejo 


• Numero de brechas de gobierno 


• Frecuencia en que el gobierno de Tl es 

(A 

ra 

directivo sobre Tl a los as terceras 
partes interesadas (incluyendo el nivel 
de madurez) 


• Frecuencia de revisiones 
independientes del cumplimiento de Tl 


un punto de la agenda en las reuniones 
estrategicas/de comite de Tl 

• % de miembros del consejo directivo cor 


• # de eventos recurrentes de Tl en las 




entrenamiento o experiencia en 

+■> 

■01 

agendas del consejo directivo 




gobierno de Tl 

5 





• Obsolescencia de recomendaciones 






acordadas 






• Frecuencia de reportes al consejo sobre 






las encuestas de satisfaccion a las 
terceras partes interesadas 
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Monitorear y Evaluar 

Proporcionar Gobierno de Tl 


Modelo DE Madurez 

ME4 Proporcionar Gobierno de Tl 

La administracion del proceso de Proporcionar Gobierno de Tl que satisfaga el requerimiento de negocio de Tl de integrar el gobierno 
de Tl con los objetivos de gobierno corporativos y el cumplimiento con las /eyes y regulaciones es: 

0 No Existente cuando 

Existe una carencia completa de cualquier proceso reconocible de gobierno de Tl. La organizacion ni siquiera ha reconocido que 
existe un problema a resolver; por lo tanto, no existe comunicacion respecto al tema. 

1 Inicial / Ad Hoc cuando 

Se reconoce que el tema del gobierno de Tl existe y que debe ser resuelto. Existen enfoques ad hoc aplicados individualmente o caso 
por caso. El enfoque de la gerencia es reactivo y solamente existe una comunicacion esporadica e inconsistente sobre los temas y los 
enfoques para resolverlos. La gerencia solo cuenta con una indicacion aproximada de como Tl contribuye al desempeho del negocio. 
La gerencia solo responde de forma reactiva a los incidentes que hayan causado perdidas o verguenza a la organizacion. 

2 Repetible pero Intuitivo cuando 

Existe una conciencia sobre los temas de gobierno de Tl. Las actividades y los indicadores de desempeho del gobierno de Tl, los 
cuales incluyen procesos planeacion, entrega y supervision de Tl, estan en desarrollo. Los procesos de Tl seleccionados se identifican 
para ser mejorados con base en decisiones individuales. La gerencia ha identificado mediciones basicas para el gobierno de Tl, as/ 
como metodos de evaluacion y tecnicas; sin embargo, el proceso no ha sido adoptado a lo largo de la organizacion. La comunicacion 
respecto a los estandares y responsabilidades de gobierno se deja a los individuos. Los individuos impulsan los procesos de gobierno 
en varios proyectos y procesos de Tl. Los procesos, herramientas y metricas para medir el gobierno de Tl estan limitadas y pueden no 
usarse a toda su capacidad debido a la falta de experiencia en su funcionalidad. 

3 Definido cuando 

La importancia y la necesidad de un gobierno de Tl se reconocen por parte de la gerencia y se comunican a la organizacion. Un 
conjunto de indicadores base de gobierno de Tl se elaboran donde se definen y documentan los vfnculos entre las mediciones de 
resultados y los impulsores del desempeho. Los procedimientos se han estandarizado y documentado. La gerencia ha comunicado los 
procedimientos estandarizados y el entrenamiento esta establecido. Se han identificado herramientas para apoyar a la supervision 
del gobierno de Tl. Se han definido tableros de control como parte de los Balanced Scorecard de Tl. Sin embargo, se delega al 
individuo su entrenamiento, el seguimiento de los estandares y su aplicacion. Puede ser que se monitoreen los procesos sin embargo 
la mayorfa de desviaciones, se resuelven con iniciativa individual y es poco probable que se detecten por parte de la gerencia. 

4 Administrado y Medible cuando 

Existe un entendimiento completo de los temas de gobierno a todos los niveles. Hay un entendimiento claro de quien es el cliente y se 
definen y supervisan las responsabilidades por medio de acuerdos de niveles de servicio. Las responsabilidades son Claras y la 
propiedad de procesos esta establecida. Los procesos de Tl y el gobierno de Tl estan alineados e integrados con la estrategia 
corporativa de Tl. La mejora de los procesos de Tl se basa principalmente en un entendimiento cuantitativo y es posible monitorear y 
medir el cumplimiento con procedimientos y metricas de procesos. Todos los interesados en los procesos estan conscientes de los 
riesgos, de la importancia de Tl, y de las oportunidades que esta puede ofrecer. La gerencia ha definido niveles de tolerancia bajo los 
cuales los procesos pueden operar. Existe un uso limitado, principalmente tactico, de la tecnologfa con base en tecnicas maduras y 
herramientas estandar ya implantadas. El gobierno de Tl ha sido integrado a los procesos de planeacion estrategica y operativa, asf 
como a los procesos de monitoreo. Los indicadores de desempeho de todas las actividades de gobierno de Tl se registran y siguen, y 
esto lidera mejoras a nivel de toda la empresa. La rendicion general de cuentas del desempeho de los procesos clave es clara, y la 
gerencia recibe recompensas con base en las mediciones clave de desempeho. 

5 Optimizado cuando 

Existe un entendimiento avanzado y a fututo de los temas y soluciones del gobierno de Tl. El entrenamiento y la comunicacion se 
basan en conceptos y tecnicas de vanguardia. Los procesos se han refinado hasta un nivel de mejor practica de la industria, con base 
en los resultados de las mejoras continuas y en el modelo de madurez con respecto a otras organizaciones. La implantacion de las 
polfticas de Tl ha resultado en una organizacion, personas y procesos que se adaptan rapidamente, y que dan soporte completo a los 
requisitos de gobierno de Tl. Todos los problemas y desviaciones se analizan por medio de la tecnica de causa rafz y se identifican e 
implementan medidas eficientes de forma rapida. Tl se utiliza de forma amplia, integrada y optimizada para automatizar el flujo de 
trabajo y brindar herramientas para mejorar la calidad y efectividad. Los riesgos y los retornos de los procesos de Tl estan definidos, 
balanceados y comunicados en toda la empresa. Se aprovechan a los expertos externos y se usan evaluaciones por comparacion 
para orientarse. El monitoreo, la auto-evaluacion y la comunicacion respecto a las expectativas de gobierno estan en toda la 
organizacion y se de un uso optimo a la tecnologfa para apoyar las mediciones, el analisis, la comunicacion y el entrenamiento. El 
Gobierno Corporativo y el gobierno de Tl estan vinculados de forma estrategica, aprovechando la tecnologfa y los recursos humanos y 
financieros para mejorar la ventaja competitiva de la empresa. Las actividades de gobierno de Tl estan integradas al proceso de 
Gobierno Corporativo. 
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Apendice I 

Tabla de Enlaces entre Metas y 
Procedimientos. 


Este apendice brinda una vision global de como se relacionan las metas genericas del negocio con las 
metas de Tl con los procesos de Tl y con los criterios de informacion. Se proporcionan tres tablas: 

1. La primera tabla muestra las equivalencias de las metas del negocio, de acuerdo al balanced 
scorecard, con las metas de Tl y con los criterios de informacion 1 . Esto ayuda a mostrar, para una 
meta generica de negocios determinada, las metas de Tl que por lo general dan soporte a esta 
meta, y los criterios de informacion de COBIT que se relacionan con la meta del negocio. 

2. La segunda tabla muestra las equivalencias de las metas de Tl con los procesos de Tl de COBIT, asf 
como los criterios de informacion sobre los cuales se basa la meta de Tl 2 . 

3. La tercera tabla proporciona un mapeo inverso que muestra para cada proceso de Tl, las metas de 
Tl que son soportadas. 

Las tablas ayudan a demostrar el alcance de COBIT y la relacion general de negocio entre COBIT y los 
impulsores del negocio, permitiendo asf establecer la equivalencia entre las metas tfpicas de negocio, 
por medio de las metas de Tl, y los procesos de Tl requeridos para darles soporte. Las tablas se basan 
en metas organicas y, por lo tanto, se deben usar como gufa y adaptarse a la empresa determinada. 

Para proporcionar una liga hacia los criterios de informacion usados para los requisitos de negocio de la 
3 a edicion de COBIT, las tablas tambien contienen una indicacion de los criterios de informacion mas 
importantes soportados por el negocio y por las metas de Tl. 


Notas: 

1 Los criterios de informacion contenidos en la grafica de metas de negocio se basan en un agregado de los criterios 
para las metas de Tl relacionadas y en una evaluacion subjetiva de aquellos que son mas relevantes para la meta del 
negocio. No se hizo el intento para indicar si son primarios o secundarios. Estos son tan solo indicativos y los usuarios 
pueden seguir un proceso similar al evaluar sus propias metas de negocio 

2 Las referencias primarias y secundarias de los criterios de informacion en la grafica de metas de Tl se basan en un 
agregado de los criterios para cada proceso de Tl y en una evaluacion subjetiva de que es primario y que es secundario 
para la meta de Tl., debido a que algunos procesos tienen mayor impacto en la meta de Tl que otros. Estos son tan solo 
indicativos y los usuarios pueden seguir un proceso similar al evaluar sus propias metas de Tl 
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MATRIZ DE PROCESOS DE Tl A MET AS DE Tl 


Tl GOVERNAN CE INSTITUTE 


CobiT 4.1 


171 


172 


Tl GOVERNAN CE INSTITUTE 






Apendice I CobiT 4.1 



1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 

Planeary Organizar 





























P01 Definir un plan estrategico de Tl 

V 

V 



























P02 Definir la arquitectura de la informacio'n 

V 



V 

V 






V 


















P03 Determinar la direooion teonologica 







V 








V 














P04 Definir los procesos, organlzacion y relaciones de Tl 

V 

V 



V 
























P05 Administrar la inversion en Tl 












V 












V 




V 

P06 Comunicar las aspiraciones y la direooion de la gerencla 












V 

V 






V 

V 

V 

V 







P07 Administrar recursos humanos de Tl 





V 




V 




















P08 Administrar la calidad 



V 













V 









V 




P09 Evaluary administrar los riesgos de Tl 














V 



V 

V 











P010 Administrar proyectos 

V 

V 























V 




Adquirir e Implementar 





























All Identificar soluciones automatizadas 

V 





V 























AI2 Adquirir y mantener software aplicativo 






V 

V 






















AI3 Adquirir y mantener infraestructura teonologica 





V 



V 







V 














AI4 Facilitar la operation y el uso 



V 








V 


V 



V 













AI5 Adquirir recursos de Tl 







V 

V 

V 




















AI6 Administrar oambios 

V 





V 










V 






V 




V 



AI7 Instalar y acreditar soluciones y oambios 

V 










V 


V 



V 




V 

V 








EntregaryDarSoporte 





























DS1 Definir y administrar los niveles de servioio 

V 


V 









V 

















DS2 Administrar los servicios de terceros 



V 







V 


V 

















DS3 Administrar el desempeno y la capacidad 

V 














V 








V 






DS4 Garantizar la continuidad del servioio 





















V 

V 

V 






DS5 Garantizar la seguridad de los sistemas 














V 





V 

V 

V 





V 



DS6 Identificary asignar costos 












V 












V 




V 

DS7 Educary entrenar a los usuarios 



V 










V 


V 














DS8 Administrar la mesa de servioio y los inoidentes 



V 










V 










V 






DS9 Administrar la configuracion 














V 

V 














DS10 Administrar los problemas 



V 













V 

V 












DS11 Administrar los datos 




V 















V 








V 


DS12 Administrar el ambiente ffsico 














V 





V 


V 

V 







DS13 Administrar las operaciones 



V 


















V 


V 






Monitoreary Evaluar 





























ME1 Monitorear y evaluar el desempeno de Tl 

V 

V 










V 
















V 

ME2 Monitoreary evaluar el control interno 














V 



V 




V 






V 


ME3 Garantizar el cumplimiento regulatorio 



























V 


ME4 Proporcionar gobierno de Tl 


V 










V 















V 

V 
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Apendice II 


Mapeo Entre los Procesos De TI y las Areas 
Focales de Gobierno De TI, COSO, los 
Recursos TI De CobiT y los Criterios de 

INFORMACION DE COBlT 


Este apendice proporciona las equivalencias entre los procesos de TI de CobiT y las cinco areas focales 
del gobierno de TI, los recursos de TI y los criterios de informacion. La tabla tambien contiene un 
indicador de importancia relativa (alta, media y baja), con base en la evaluacion por comparacion 
(benchmarking) via CobiT ONLINE. Esta matriz en una pagina, y a alto nivel como el marco de trabajo de 
CobiT resuelve los requisitos de gobierno de TI y de COSO, y muestra la relacion entre los procesos de TI, 
los recursos y criterios de informacion de TI. La P se usa cuando hay una relacion primaria y la S cuando 
solamente existe una relacion secundaria. El hecho de que no exista una P ni una S no significa que no 
exista relacion, solo que es menos importante o marginal. Los valores de importancia se basan en una 
encuesta y en la opinion de expertos, y se incluyen solo como una guia. Los usuarios deben considerar 
que procesos son importantes dentro de sus propias organizaciones. 



Apendice II - Mapeo de Procesos de TI a las Areas 
Focales de Gobierno TI, COSO, Recursos de TI de 
CobiT y Criterios de Informacion de CobiT 
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Apendice III 

Modelo de Madurez para el Control 

INTERNO 


Este apendice muestra un modelo generico de madurez que describe el estatus del ambiente de control 
interno y el establecimiento de controles internos en una empresa. Muestra como la administracion del 
control interno, y la conciencia de la necesidad de establecer mejores controles internos, por lo general 
evoluciona de algo ad hoc, hasta un nivel optimizado. El modelo brinda una guia de alto nivel para 
ayudar a los usuarios de CobiT a apreciar lo que se requiere para un control interno efectivo en Tl y 
ayudar a posicionar a su empresa en la escala de madurez. 


Apendice III 
Control de Madurez 



Apendice III 


Apendice III - Modelo de Madurez para el 

Control Interno 


Nivel de Madurez 

Estado del Entorno de Control Interno 

Establecimiento de Control Interno 

0 No existente 

No se reconoce la necesidad del control interno. El control 
no es parte de la cultura o mision organizacional. Existe un 
alto riesgo de deficiencias e incidentes de control. 

No existe la intencion de evaluar la necesidad del control interno. 
Los incidentes se manejan conforme van surgiendo. 

1 Inicial / ad hoc 

Se reconoce algo de la necesidad del control interno. El 
enfoque hacia los requerimientos de riesgo y control es ad 
hoc y desorganizado, sin comunicacion o supervision. No se 
identifican las deficiencias. Los empleados no estan 
concientes de sus responsabilidades. 

No existe la conciencia de la necesidad de evaluar lo que se 
necesita en terminos de controles de Tl. Cuando se llevan a cabo, 
son solamente de forma ad hoc, a alto nivel y como reaccion a 
incidentes significativos. La evaluacion solo se enfoca al incidente 
presente. 

2 Repetible pero 
Intuitivo 

Existen controles pero no estan documentados. Su 
operacion depende del conocimiento y motivacion de los 
individuos. La efectividad no se evalua de forma adecuada. 
Existen muchas debilidades de control y no se resuelven de 
forma apropiada; el impacto puede ser severo. Las medidas 
de la gerencia para resolver problemas de control no son 
consistentes ni tienen prioridades. Los empleados pueden 
no estar concientes de sus responsabilidades. 

La evaluacion de la necesidad de control sucede solo cuando se 
necesita para ciertos procesos seleccionados deTI para determinar 
el nivel actual de madurez del control, el nivel meta que debe ser 
alcanzado, y las brechas existentes. Se utiliza un enfoque de taller 
informal, que involucra a los gerentes de Tl y al equipo interesado 
en el proceso, para definir un enfoque adecuado hacia el control 
para los procesos, y para generar un plan de accion acordado. 

3 Definido 

Existen controles y estan documentados de forma adecuada. 
Se evalua la efectividad operativa de forma periodica y existe 
un numero promedio de problemas. Sin embargo, el proceso 
de evaluacion no esta documentado. Aunque la gerencia 
puede manejar la mayoria de los problemas de control de 
forma predecible, algunas debilidades de control persisten y 
los impactos pueden ser severos. Los empleados estan 
concientes de sus responsabilidades de control. 

Los procesos criticos de Tl se identifican con base en impulsores de 
valor y de riesgo. Se realiza un analisis detallado para identificar 
requisites de control y la causa rafz de las brechas, asi como para 
desarrollar oportunidades de mejora. Ademas de facilitar talleres, 
se usan herramientas y se realizan entrevistas para apoyar el 
analisis y garantizar que los duenos de los procesos de Tl son 
realmente los duenos e impulsan al proceso de evaluacion y 
mejora. 

4 Administrado y 
Medible 

Existe un ambiente efectivo de control interno y de 
administracion de riesgos. La evaluacion formal y 
documentada de los controles ocurre de forma periodica. 
Muchos controles estan automatizados y se realizan de 
forma periodica. Es probable que la gerencia detecte la 
mayoria de los problemas de control, aunque no todos los 
problemas se identifican de forma rutinaria. Hay un 
seguimiento consistente para manejar las debilidades de 
control identificadas. Se aplica un uso de la tecnologia 
tactico y limitado a los controles automatizados. 

Se define de forma periodica que tan criticos son los procesos de Tl 
con el apoyo y acuerdo complete por parte de los duenos de los 
procesos correspondientes. La evaluacion de los requisites de 
control se basa en las polfticas y en la madurez real de estos 
procesos, siguiendo un analisis meticuloso y medido, involucrando 
a los Interesados (Stakeholders) clave. La rendicion de cuentas 
sobre estas evaluaciones es Clara y esta reforzada. Las estrategias 
de mejora estan apoyadas en casos de negocio. El desempeno 
para lograr los resultados deseados se supervisa de forma 
periodica. Se organizan de forma ocasional revisiones externas de 
control. 

5 Optimizado 

Un programs organizacional de riesgo y control proporciona 
la solucion continua y efectiva a problemas de control y 
riesgo. El control interno y la administracion de riesgos se 
integran a las practicas empresariales, apoyadas con una 
supervision en tiempo real, y una rendicion de cuentas 
completa para la vigilancia de los controles, administracion 
de riesgos, e implantacion del cumplimiento. La evaluacion 
del control es continua y se basa en auto-evaluaciones y en 
analisis de brechas y de causas rafz. Los empleados se 
involucran de forma pro-activa en las mejoras de control. 

Los cambios en el negocio toman en cuenta que tan criticos son los 
procesos de Tl, y cubren cualquier necesidad de re-evaluar la 
capacidad del control de los procesos. Los duenos de los procesos 
realizan auto-evaluaciones de forma periodica para confirmar que 
los controles se encuentran en el nivel correcto de madurez para 
satisfacer las necesidades del negocio, y toman en cuenta los 
atributos de madurez para encontrar maneras de hacer que los 
controles sean mas eficientes y efectivos. La organizacion evalua 
por comparacion con las mejoras practicas externas y busca 
asesoria externa sobre la efectividad de los controles internos. Para 
procesos criticos, se realizan evaluaciones independientes para 
proporcionar seguridad de que los controles se encuentran al nivel 
deseado de madurez y funcionan como fue planeado. 
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Apendice IV 

CobiT 4.1 Material de Referencia 

Primario 



Apendice IV 


Apendice IV - CobiT 4.1 Material de Referencia 

Primario 

Para las actividades de desarrollo y actualization de CobiT ya mencionadas, se uso una amplia base de mas de 40 estandares de Tl, 
marcos de trabajo, directrices y mejores practicas para garantizar la integridad de CobiT en la resolucion de todas las areas de 
gobierno y control de Tl. 

Debido a que CobiT se enfoca en el que se requiere para lograr una administracion y control adecuados de Tl, se posiciona a un alto 
nivel. Los estandares de Tl mas detallados y las mejores practicas se encuentran a un nivel de detalle inferior describiendo como 
gestionar y controlas especfficos aspectos de Tl. CobiT actua como integrador de estos diferentes materiales de gufa, resumiendo los 
objetivos clave bajo un marco de trabajo paraguas que tambien enlaza los requerimientos de gobierno y negocio. 

Para esta version actualizada de CobiT (CobiT 4.1), seis de los principales estandares mundiales relacionados con Tl, marcos de 
trabajo y practicas como las principales referencias de soporte para garantizar una cobertura, consistencia y alineacion adecuada. 
Estas son: 

• COSO: 

Control Interno - Marco de Trabajo Integrado, 1994 

Administracion de Riesgos Empresariai - Marco de Trabajo Integrado, 2004 

• Oficina de Comercio Gubernamental (OGC®): 

Biblioteca de Infraestructura deTI® (ITIL®), 1999-2004 

• Organizacion Internacional para la Estandarizacion: 

ISO/IEC 27000 

• Instituto de Ingenierfa de Software (SEI®): 

SEI Modelo de madurez de la capacidad (CMM®), 1993 

SEI Integracion del modelo de madurez de la capacidad (CMMI®), 2000 

• Instituto de Gestion de Proyectos (PM l<g>): 

Guia para el Cuerpo de Conocimiento de Gestion de Proyectos (PMBOK®), 2004 

• Foro de Seguridad de Informacion (ISF): 

El estandar de buenas practicas para la seguridad de la informacion, 2003 

Referencias adicionales utilizadas en el desarrollo de CobiT 4.1 incluyen: 

• Objetivos de Control de Tl para Sarbanes-Oxley: El Rol de Tl en el Diseno e Implementaclon de Controles Internos S obre Informes 
Financieros, 2 a Edicion, Instituto de Gobierno de Tl, USA, 2006 

• Manual de Revision CISA, ISACA, 2006 
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Apendice V 


Referencias Cruzadas Entre la 3 a Edicion 

Y COBIT 4.1 



Apendice V 


Apendice V - Referencias Cruzadas Entre la 3 a 
Edicion de CobiT y CobiT 4.1 

CAMBIOS A NIVEL DE MARCO DE TRABAJO 


Los cambios principales al marco de trabajo de CobiT como resultado de la actualizacion a COBIT 4.0 son los siguientes: 

• El dominio M se ha convertido ahora a ME, y signifies Monitorear y Evaluar. 

• M3 y M4 eran procesos de auditorfa y no procesos de Tl. Fueron eliminados debido a que estan cubiertos de forma adecuada por 
un numero de estandares de auditorfa de Tl, aunque se han proporcionado referencias dentro del marco de trabajo actualizado 
para enfatizar ia necesidad que tiene la gerencia de usar funciones de aseguramiento. 

• ME3 es el proceso relacionado con la supervision regulatoria, el cual estaba cubierto en P08 previamente. 

• ME4 cubre el proceso de supervision del gobierno sobre Tl, conservando el proposito de CobiT de fungir como un marco de trabajo 
de gobierno de Tl. Al posicionar ese proceso al final de la cadena, se subraya el apoyo que cada proceso previo brinda a la ultima 
meta de implementar un gobierno efectivo de Tl en la empresa. 

• Con la eliminacion de P08 y la necesidad de mantener la numeracion para P09 Evaluar riesgos y P010 Admlnistrar proyectos de 
modo consistente con la 3 a edicion de COBIT, P08 ahora se convierte en Administrar la calidad, que anteriormente era el proceso 
POll. El dominio PO ahora tiene 10 procesos en lugar de 11. 

• El dominio Al requirio dos cambios: la adicion de un proceso de procuracion y la necesidad de incluir en AI5 los aspectos de 
administracion de versiones. El ultimo cambio sugirio que este deberfa ser el ultimo proceso en el dominio Al y por lo tanto se 
convirtio en AI7. El hueco que se creo en AI5 se uso para anadir el nuevo proceso de procuracion. El dominio Al ahora tiene siete 
procesos en lugar de seis. 


CobiT una actualizacion incremental a CobiT 4.0, incluye: 

• Vision general ejecutiva mejorada. 

• Explicacion de metas y metricas en la seccion del marco de trabajo 

• Mejores definiciones de los conceptos del nucleo. Es importante mencionar que la definicion de objetivo de control se ha cambiado, 
desplazandose mas hacia una declaracion de practicas de gestion 

• Se han mejorado los objetivos de control resultado de unas practicas de control actualizadas y la actividad de desarrollo de Val Tl. 
Algunos objetivos de control se agruparon y / o reformularon pare evitar superposiciones y hacer la lista de objetivos de control 
dentro de un proceso mas consistente. Estos cambios resultan en la renumeracion de los objetivos de control restantes. Algunos de 
los otros objetivos de control fueron reordenados para hacerlos mas orientados a la accion y consistentes en la redaccion. Las 
revisiones especificas incluyen: 

- AI5.5 y AI5.6 que fueron combinadas en AI5.4 

- AI7.9, AI7.10 y AI7.11 que fueron combinadas en AI7.8 

- ME3 fue revisada para incluir cumplimiento con los requerimientos contractuales ademas de requerimientos legales y 
regulatorios. 

• Los controles de aplicacion han sido revisados para ser mas efectivos, basados en el trabajo para soportar la evaluacion e informe 
de la eficacia de los controles. Resultando en una lista de seis controles de aplicacion que sustituyen a los 18 controles de 
aplicacion de CobiT 4.0, proporcionado con mayor detalle en Practicas de Control de CobiT, 2 a Edicion. 

• Se ha mejorado la lista de metas de negocio y de metas de Tl en el Apendice I, basado en nuevas visiones obtenidas durante la 
investigacion de validacion realizada por ia Universidad de Antwerp Management School (Belgica). 

• La extraccion se ha expandido a proporcionar una lista de referencias rapidas de los procesos de CobiT, y el diagrama de vision 
general que representa los dominios revisados para incluir la referencia para el proceso y elementos de control de aplicacion del 
marco de trabajo de CobiT. 

• Las mejoras identificadas por los usuarios de CobiT (CobiT 4.0 y CobiT Online) se han revisado e incorporado de forma apropiada. 

OBJETIVOS DE CONTROL DETALLADOS 


Como se puede observar en la description anterior a nivel del marco de trabajo y en el trabajo para aclarar y enfocar el contenido de los objetivos de control, la 
actualizacion del marco de trabajo CobiT ha cambiado significativamente los objetivos de control dentro de este. Estos componentes se han reducido de 215 a 
210, porque todos los materiales genericos ahora solo se conservan al nivel de marco de trabajo y no se repiten en cada proceso. Asi mismo, todas las 
referencias a controles aplicativos se movieron al marco de trabajo y los objetivos espetificos de control se agregaron en nuevas declaraciones. Para apoyar la 
actividad de transition en relation con los objetivos de control, los siguientes dos juegos de tablas muestran las referencias cruzadas entre los nuevos y viejos 
objetivos de control. 

DIRECTRICES GERENCIALES 


Las entradas y salidas se han anadido para ilustrar lo que los procesos necesitan de otros y lo que tipicamente generan. Tambien se proporcionan actividades y 
responsabilidades asociadas. Las entradas y las metas de las actividades reemplazan a los factores crfticos de exito de CobiT 3 a Edicion. Las metricas ahora se 
basan en una cascada consistente de metas de negocio, de Tl, de proceso y de actividades. El juego de metricas de COBIT 3 a Edicion tambien se reviso y 
mejoro para hacerlo mas representativo y medible. 
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CobiT 3 a edicion 

CobiT 4.1 

proyectos 


10.7 Plan maestro de 
proyectos 

10.7 

10.8 Plan de aseguramiento de 
calidad de sistemas 

10.10 

10.9 Planeacion de metodos 
de aseguramiento 

10.12 

10.10 Administracion formal 
de riesgos de proyectos 

10.9 

10.11 Plan de pruebas 

AI7.2 

10.12 Plan de entrenamiento 

AI7.1 

10.13 Plan de revision Post- 
implantacion 

10.14 

(parte) 

P011 Administrar la calidad. 

11.1 Plan general de calidad 

8.5 

11.2 Enfoque de 
aseguramiento de la calidad 
(QA) 

8.1 

11.3 Planeacion de QA 

8.1 

11.4 Revision de QA de la 
adherencia a estandares y 
procedimientos de Tl 

8.1, 8.2 

11.5 Metodologfa de ciclo de 
vida (SDLC) para desarrollo de 
sistemas . 

8.2, 8.3 

11.6 Metodologfa SDLC Para 
cambios importantes a la 
tecnologfa existente 

8.2, 8.3 

11.7 Actualizacion de la 
Metodologfa SDLC 

8.2, 8.3 

11.8 Coordinacion y 
comunicacion 

8.2 

11.9 Marco de adquisicion y 
mantenimiento para la 
infraestructura tecnologica 

8.2 

11.10 Relaciones con 
Implantadores terceros 

8.2, DS2.3 

11.11 Estandares de 
Documentacion de programas 

AI4.2, 

AI4.3, 

AI4.4 

11.12 Estandares de prueba 
de programas 

AI7.2, 

AI7.4 

11.13 Estandares de prueba 
de sistemas 

AI7.2, 

AI7.4 

11.14 Pruebas paralelas/piloto 

AI7.2, 

AI7.4 

11.15 Documentacion de 
pruebas de sistemas 

AI7.2, 

AI7.4 

11.16 Evaluacion QA de la 
adherencia a los estandares de 
desarrollo 

8.2 

11.17 Revision QA del logro De 
los objetivos de Tl 

8.2 

11.18 Metricas de calidad 

8.6 

11.19 Reportes de revisiones 
QA 

8.2 


CobiT 3 a edicion CobiT 4.1 

P01 Definir plan estrategico para Tl. 

1.1 Tl Como parte del plan 
organizacional a corto y a largo 
plazo 

1.4 

1.2 Plan de Tl a largo plazo 

1.4 

1.3 Plan de Tl a largo plazo — 
enfoque y estructura 

1.4 

1.4 Cambios al plan de Tl a 
largo plazo 

1.4 

1.5 Planeacion a corto plazo 
para la funcion de Tl 

1.5 

1.6 Comunicacion de los 

Planes de Tl 

1.4 

1.7 Monitoreo y evaluacion de 
los planes de Tl 

1.3 

1.8 Evaluacion de Sistemas 
existentes 

1.3 

P02 Definir arquitectura de informacion. 

2.1 Modelo de arquitectura de 
informacion 

2.1 

2.2 Diccionario corporativo de 
datos y reglas de sintaxis 

2.2 

2.3 Esquema de clasificacion 
de datos 

2.2 

2.4 Niveles de seguridad 

2.3 

P03 Determinar la direccion tecnologica. 

3.1 Planeacion de la 
infraestructura tecnologica 

3.1 

3.2 Monitorear tendencias y 
reglamentos futuros. 

3.3 

3.3 Contingencia de la 
infraestructura tecnologica 

3.1 

3.4 Planes de adquisicion de 
Hardware y software 

3.1, AI3.1 

3.5 Estandares tecnologicos 

3.4, 3.5 

P04 Definir la organization y las relaciones 
De Tl. 

4.1 Planeacion de Tl 6 Comite 
directivo 

4.3 

4.2 Ubicacion organizacional 
de la funcion de Tl 

4.4 

4.3 Revision de los logros 
organizacionales 

4.5 

4.4 Roles y responsabilidades 

4.6 

4.5 Responsabilidad del 
Aseguramiento de la calidad 

4.7 

4.6 Responsabilidad de la 
seguridad logica y ffsica 

4.8 

4.7 Propiedad y custodia 

4.9 

4.8 Propiedad de datos y de 
sistemas 

4.9 

4.9 Supervision 

4.10 

4.10 Segregation de tareas 

4.11 

4.11 Equipo de trabajo de Tl 

4.12 

4.12 Descripciones de Puesto 
para equipo de Tl 

4.6 

4.13 Personal clave de Tl 

4.13 

4.14 Polfticas y procedimientos 
para personal subcontratado 

4.14 

4.15 Relaciones 

4.15 

P05 Administrar la inversion en Tl. 

5.1 Presupuesto operativo 

Anual para Tl 

5.3 

5.2 Supervision de costos y 
beneficios 

5.4 

5.3 Justification de costos y 
beneficios 

1.1, 5.3, 
5.4, 5.5 

P06 Comunicar metas y direccion de la 
gerencia. 

6.1 Ambiente positivo de 
control de informacion 

6.1 


CobiT 3 a edicion 

CobiT 4.1 

6.2 Responsabilidad de la 
gerencia por polfticas 

6.3, 6.4, 
6.5 

6.3 Comunicacion de las 
polfticas organizacionales 

6.3, 6.4, 
6.5 

6.4 Recursos para 
implantacion de polfticas 

6.4 

6.5 Mantenimiento de polfticas 

6.3, 6.4, 
6.5 

6.6 Cumplimiento de polfticas, 
procedimientos y estandares 

6.3, 6.4, 
6.5 

6.7 Compromiso de calidad 

6.3, 6.4, 
6.5 

6.8 Polftica de seguridad y 
control interno 

6.2 

6.9 Derechos de propiedad 
intelectual 

6.3, 6.4, 
6.5 

6.10 Polfticas de temas 
especfficos 

6.3, 6.4, 
6.5 

6.11 Comunicacion de la 
conciencia de seguridad de Tl 

6.3, 6.4, 
6.5 

P07 Administrar los recursos humanos. 

7.1 Reclutamiento y Selection 
de personal 

7.1 

7.2 Aptitudes del personal 

7.2 

7.3 Roles y responsabilidades 

7.4 

7.4 Entrenamiento personal 

7.5 

7.5 Entrenamiento cruzado o 
respaldos de personal 

7.6 

7.6 Procedimientos de 
acreditacion de personal 

7.7 

7.7 Evaluaciones de 
desempeho del trabajo 

7.8 

7.8 Cambios de puesto y 
termination 

7.8 

P08 Garantizar el cumplimiento de los 
requisitos externos. 

8.1 Revision de requisitos 

ME3.1 

8.2 Practicas y procedimientos 
para cumplir los requisitos 
externos 

ME3.2 

8.3 Cumplimiento Ergonomico 
y de seguridad 

ME3.1 

8.4 Privacidad, propiedad 
Intelectual y flujo de datos 

ME3.1 

8.5 Comercio electronico 

ME3.1 

8.6 Cumplimiento de Contratos 
de seguridad 

ME3.1 

P09 Evaluar riesgos. 

9.1 Evaluacion de riesgos de 
negocio 

9.1, 9.2, 
9.4 

9.2 Enfoque de evaluacion De 
riesgos 

9.4 

9.3 Identificacion de riesgos 

9.3 

9.4 Medicion de riesgos 

9.1, 9.2, 
9.3, 9.4 

9.5 Plan de action de riesgos 

9.5 

9.6 Aceptacion de riesgos 

9.5 

9.7 Selec. de salvaguardas 

9.5 

9.8 Comite de evaluacion de 
riesgos 

9.1 

P010 Administrar proyectos. 

10.1 Marco de administracion 
de proyectos 

10.2 

10.2 Participation del 
Departamento usuario en el 
Inicio de los proyectos 

10.4 

10.3 Membresfa del equipo de 
Trabajo y responsabilidades 

10.8 

10.4 Definition de proyectos 

10.5 

10.5 Aprobacion de proyectos 

10.6 

10.6 Aprobacion de fases de 

10.6 
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Apendice V 


CobiT 3 a edicion CobiT 4.1 

All Identiflcar soluciones automatizadas. 

1.1 Definicion de 
requerimientos de informacion 

1.1 

1.2 Formular cursos 

Alternativos de accion 

1.3, 5.1, 
P01.4 

1.3 Formulacion de estrategia 
de adquisiciones 

1.3, 5.1, 
P01.4 

1.4 Requisites de servicio de 
terceros 

5.1, 5.3 

1.5 Estudio de factibilidad 
tecnologica 

1.3 

1.6 Estudio de factibilidad 
economica 

1.3 

1.7 Arquitectura de la 
informacion 

1.3 

1.8 Reportes de analisis de 
riesgos 

1.2 

1.9 Controles de seguridad 
rentables 

1.1, 1.2 

1.10 Disefio de pistas de 
auditona 

1.1, 1.2 

1.11 Ergonomia 

1.1 

1.12 Seleccion de software de 
sistemas 

1.1, 1.3 

1.13 Control de procuracion 

5.1 

1.14 Adquisicion de productos 
de software 

5.1 

1.15 Mantenimiento de 
software de terceros 

5.4 

1.16 Programacibn de 
aplicaciones subcontratadas 

5.4 

1.17 Aceptacion de 
instalaciones 

5.4 

1.18 Aceptacion de la 

Tecnologia 

3.1, 3.2, 
3.3, 5.4 

AI2 Adquirir y mantener software aplicativo. 

2.1 Metodos de disefio 

2.1 

2.2 Cambios importantes a 
Sistemas existentes 

2.1, 2.2, 

2.6 

2.3 Aprobacion del disefio 

2.1 

2.4 Definicion y documentacion 
de requisitos De archivo 

2.2 

2.5 Especificaciones de 

2.2 


CobiT 3 a edicion 

CobiT 4.1 

4.2 Manual de procedimientos 
de usuario 

4.2 

4.3 Manual de operaciones 

4.4 

4.4 Materiales de 
entrenamiento 

4.3, 4.4 

AI5 Instalar y acreditar sistemas. 

5.1 Entrenamiento 

7.1 

5.2 Dimensionar desempeho 

De software aplicativo 

7.6, DS3.1 

5.3 Plan de implantacion 

7.2, 7.3 

5.4 Conversion de sistemas 

7.5 

5.5 Conversion de datos 

7.5 

5.6 Estrategias y planes de 

7.2 

5.7 Pruebas de cambios 

7.4, 7.6 

5.8 Criterios y desempeho de 
de pruebas paralela./piloto 

7.6 

5.9 Pruebas de acept. final 

7.7 

5.10 Pruebas y acreditacion de 
seguridad 

7.6 

5.11 Pruebas operativas 

7.6 

5.12 Cambio produccion 

7.8 

5.13 Evaluacion de satisfaccion 
de los requerimientos del 
usuario 

7.9 

5.14 Revision de la gerencia 
post-implantacion 

7.9 

AI6 Administrar cambios. 

6.1 Inicio y control de 
solicitudes de cambio 

61, 6.4 

6.2 Evaluacion de impacto 

6.2 

6.3 Control de cambios 

7.9 

6.4 Cambios de emergencia 

6.3 

6.5 Documentacion y 
requerimientos 

6.5 

6.6 Mantenimiento autorizado 

DS5.3 

6.7 Polftica De liberacion de 
software 

7.9 

6.8 Distribucion de software 

7.9 


CobiT 3 a edicion 

CobiT 4.1 

programas 


2.6 Disefio de recoleccion de 
datos fuente 

2.2 

2.7 Definicion y documentacion 
de requisitos de entradas 

2.2 

2.8 Definicion de interfases 

2.2 

2.9 Interfaz usuario-maquina 

2.2 

2.10 Definicion y 
documentacion de requisitos de 
procesamiento 

2.2 

2.11 Definicion y 
documentacion de requisitos De 
salidas 

2.2 

2.12 Capacidad de control 

2.3, 2.4 

2.13 Disponibilidad como 

Factor clave de disefio 

2.2 

2.14 Disposiciones de 
integridad de Tl en software de 
programas aplicativos 

2.3, 

DS11.5 

2.15 Pruebas de software 

2.8, 7.4 

2.16 Materiales de apoyo y 
Referencia para el usuario 

4.3. 4.4 

2.17 Re-evaluacion del Disefio 
del sistema 

2.2 

AI3 Adquirir y mantener infraestructura de 
software. 

3.1 Evaluacion de nuevo 
hardware y software 

3.1, 3.2, 

3.3 

3.2 Mantenimiento preventivo 
de hardware 

DS13.5 

3.3 Seguridad del software De 
sistemas 

3.1, 3.2, 

3.3 

3.4 Instalacion del software De 
sistemas 

3.1, 3.2, 

3.3 

3.5 Mantenimiento del Software 
de sistemas 

3.3 

3.6 Controles de cambio para el 
software de sistemas 

6.1, 7.3 

3.7 Uso y vigilancia de las 
utilerias del sistema 

3.2, 3.3, 
DS9.3 

AI4 Elaborar y mantener procedimientos. 

4.1 Reqs operativos y niveles de 
servicio 

4.1 


CobiT 3 a edicion 

CobiT 4.1 

DS1 Definir y administrar niveles de 
servicio. 

1.1 Marco para acuerdos de 
(SLA) niveles de servicio 

1.1 

1.2 Aspectos de los SLAs 

1.3 

1.3 Procesos de desempeho 

1.1 

1.4 Vigilancia y reportes 

1.5 

1.5 Revision de SLAs y 
contratos 

1.6 

1.6 Componentes cobrables 

1.3 

1.7 Programa de mejora de 
servicios 

1.6 

DS2 Administrar servicios de terceros. 

2.1 Interfases con proveedores 

2.1 

2.2 Relaciones con duenos 

2.2 

2.3 Contratos de terceros 

AI5.2 

2.4 Aptitudes de terceros 

AI5.3 

2.5 Sub-contrataciones 

AI5.2 

2.6 Continuidad de servicios 

2.3 

2.7 Relaciones de seguridad 

2.3 

2.8 Vigilancia 

2.4 

DS3 Admin. De desempeho y capacidad. 

3.1 Requisitos de 
disponibilidad Y desempeho 

3.1 

3.2 Plan de disponibilidad 

3.4 

3.3 Vigilancia y reportes 

3.5 


CobiT 3 a edicion 

CobiT 4.1 

3.4 Flerramientas de modelaje 

3.1 

3.5 Admin. Pro-activa de 
desempeho 

3.3 

3.6 Pronosticos de carga de 
trabajo 

3.3 

3.7 Admin, de la capacidad de 
los recursos 

3.2 

3.8 Disponibilidad de recursos 

3.4 

3.9 Cronograma de recursos 

3.4 

DS4 Garantizar servicio continuo. 

4.1 Marco de continuidad de Tl 

4.1 

4.2 Plan de continuidad de Tl 
estrategia y filosofia 

4.1 

4.3 Contenido del plan de 
continuidad de Tl 

4.2 

4.4 Minimizar requisitos de 
continuidad de Tl 

4.3 

4.5 Dar mtto. al plan de 
continuidad de Tl 

4.4 

4.6 Pruebas del plan de 
continuidad de Tl 

4.5 

4.7 Entrenamiento en el plan 
de continuidad de Tl 

4.6 

4.8 Distribucion del plan de 
continuidad de Tl 

4.7 

4.9 Procs. de respaldo para 

4.8 


CobiT 3 a edicion 

CobiT 4.1 

proceso alternativo del depto. 
usuario 


4.10 Recursos criticos de Tl 

4.3 

4.11 Sitio y hardware de 
respaldo 

4.8 

4.12 Almac. de respaldo fuera 
de sitio 

4.9 

4.13 Procs de conclusion 

4.10 

DS5 Garantizar seguridad de sistemas. 

5.1 Administrar medidas de 
seguridad. 

5.1 

5.2 Identificacion, 
autenticacion y acceso 

5.3 

5.3 Seguridad de acceso en 
Ifnea a datos 

5.3 

5.4 Admin, de cuentas de 
usuarios 

5.4 

5.5 Revision gerencial de 
cuentas de usuarios 

5.4 

5.6 Control de las cuentas por 
parte del usuario 

5.4, 5.5 

5.7 Supervision de seguridad 

5.5 

5.8 Clasificacion de datos 

P02.3 

5.9 Administracion de 
identificacion central y 
derechos de acceso 

5.3 
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CobiT 3 a edicion 

CobiT 4.1 

5.10 Reportes de actividades 
de violaciones y seguridad 

5.5 

5.11 Manejo de incidentes 

5.6 

5.12 Re-acreditacion 

5.1 

5.13 Contrapartes 

5.3, AC6 

5.14 Autorizacion de 
transacciones 

5.3 

5.15 No-repudio 

5.11 

5.16 Ruta confiable 

5.11 

5.17 Proteccion de funciones 
de seguridad 

5.7 

5.18 Admin, de claves 
criptograficas 

5.8 

5.19 Prevencion deteccion y 
correccion de software 
malicioso 

5.9 

5.20 Arqs. de firewall y 
conexiones con redes publicas 

5.10 

5.21 Proteccion del valor 
electronico 

13.4 

DS6 Identificar y asignar costos. 

6.1 Componentes cobrables 

6.1 

6.2 Procs. de costeo 

6.3 

6.3 Procs. de cobro y 
reintegros al usuario 

6.2, 6.4 

DS7 Educar y entrenar a los usuarios. 

7.1 Identificacion de 
necesidades de entrenamiento 

7.1 

7.2 Org. de entrenamiento 

7.2 

7.3 Entrenamiento en 
principios y conciencia de 
seguridad 

P07.4 

DS8 Ayuda y asesoria a clientes. 

8.1 Atencion a usuarios 

8.1, 8.5 

8.2 Registro de consultas de 
clientes 

8.2, 8.3, 
8.4 

8.3 Escalamiento de consultas 
de clientes 

8.3 

8.4 Supervision de 
acreditacion 

10.3 

8.5 Analisis y reportes de 
tendencias 

10.1 

DS9 Administrar la configuracion. 

9.1 Registro de config. 

9.1 

9.2 Lfnea base de config 

9.1 

9.3 Contabilizacion de estatus 

9.3 

9.4 Control de config. 

9.3 

9.5 Software no autorizado 

9.3 

9.6 Almacenamiento de 
software 

AI3.4 

9.7 Procedimientos de admin, 
de la config. 

9.2 

9.8 Responsabilidad porel 
software 

9.1, 9.2 


CobiT 3 a ed icion CobiT 4. 1 

DS10 Admin, de problemas e incidentes. 

10.1 Sistema de admin, de 
problemas 

10.1,10.2, 

10.3,10.4 

10.2 Escalamiento de 
problemas 

10.2 

10.3 Rastreo y pistas de 
auditorfa para problemas 

8.2,10.2 

10.4 Autorizaciones de 
emergencia y accesos 
tempo rales 

5.4, 12.3, 
AI6.3 

10.5 Prioridades para 
procesamiento de emergencia 

10.1, 8.3 

DS11 Administracion de datos. 

11.1 Procs. de preparacion de 
datos 

AC1 

11.2 Procs.de autorizacion de 
documentos fuente 

AC1 

11.3 Recoleccion de datos en 
documentos fuente 

AC1 

11.4 Manejo de errores en 
documentos fuente 

AC1 

11.5 Retencion de documentos 
fuente 

DS11.2 

11.6 Procs. de autorizacion 
para entrada de datos 

AC2 

11.7 Verif. de precision, 
Integridad y autorizacion 

AC3 

11.8 Manejo de errores en la 
entrada de datos 

AC2, AC4 

11.9 Integridad en el 
procesamiento de datos 

AC4 

11.10 Validacion y edicion del 
procesamiento de datos 

AC4 

11.11 Manejo de errores en el 
procesamiento de datos 

AC4 

11.12 Manejo y retencion de 
salidas 

AC5, 11.2 

11.13 Distr. de salidas 

AC5, AC6 

11.14 Balance y conciliacion 
de salidas 

AC5 

11.15 Revision de salidas y 
manejo de errores 

AC5 

11.16 Disposiciones de 
seguridad para reportes de 
salida 

11.6 

11.17 Proteccion de 
informacion delicada durante 
el traslado y la transmision 

AC6, 11.6 

11.18 Proteccion de 
informacion delicada eliminada 

11.4, AC.6 

11.19 Admin, de 
almacenamiento 

11.2 

11.20 Periodos de retencion y 
condiciones de 
almacenamiento 

11.2 
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CobiT 4.1 

11.21 Sistema de admin, de 
librerfas de medios 

11.3 

11.22 Responsabilidades del 
manejo de librerfas de medios 

11.3 

11.23 Respaldo y restauracion 

11.5 

11.24 Puestos de respaldo 

11.4 

11.25 Almacenamiento de 
respaldos 

4.9, 11.3 

11.26 Archivo 

11.2 

11.27 Proteccion de mensajes 
delicados 

11.6 

11.28 Autenticacion e 
integridad 

AC6 

11.29 Integridad de 
transacciones electronicas 

5.11 

11.30 Integridad continua de 
datos almacenados 

11.2 

DS12 Administrar instalaciones. 

12.1 Seguridad ffsica 

12.1, 12.2 

12.2 Perfil bajo del sitio de Tl 

12.1, 12.2 

12.3 Escolta para visitantes 

12.3 

12.4 Salud y seguridad del 
Personal 

12.1,12.5, 

ME3.1 

12.5 Proteccion contra 
factores ambientales 

12.4, 12.9 

12.6 Suministro de energfa 
ininterrumpible 

12.5 

DS13 Administrar las operaciones. 

13.1 Procedimientos y manual 
de instrucciones para 
operaciones de procesamiento 

13.1 

13.2 Proceso de arranque y 
otra documentacion de 
operaciones 

13.1 

13.3 Programacion de tareas 

13.2 

13.4 Desviaciones de los 
cronogramas de tareas 
estandar 

13.2 

13.5 Continuidad de 
procesamiento 

13.1 

13.6 Bitacoras de operacion 

13.1 

13.7 Formas especiales de 
salvaguarda y dispositivos de 
salida 

13.4 

13.8 Operaciones remotas 

5.11 
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Apendice V 


CobiT 3 a edicion 

CobiT 

4.1 

y controles Internos de los 
servicios de Tl 


3.2 

Certificacion/acreditacion 
independiente de seguridad 
y controles internos de 
proveedores de servicio en 
tercerfa 

2.5, 4.7 

3.3 Evaluacion 
independiente de la 
efectividad de los servicios 
de Tl 

2.5, 4.7 

3.4 Evaluacion 
independiente de la 
efectividad de proveedores 
de servicio en tercerfa 

2.5, 4.7 

3.5 Aseg. independiente del 
cumplimiento de leyes, 
requisitos regulatorios y 
compromisos contractuales 

2.5, 4.7 

3.6 Aseguramiento 
independiente del 
cumplimiento de leyes, 

2.5, 2,6, 
4.7 


CobiT 3 a edicion 

CobiT 

4.1 

requisitos regulatorios y 
compromisos contractuales 
por parte de proveedores de 
servicio en tercerfa. 


3.7 Competencia de la 
funcion de aseguramiento 
independiente 

2.5, 4.7 

3.8 Participacion proactiva 
de auditorfa 

2.5, 4.7 

M4 Brindar auditorfas independientes. 

4.1 Declaracion de auditorfa 

2.5, 4.7 

4.2 Independencia 

2.5, 4.7 

4.3 Etica y estandares 
profesionales 

2.5, 4.7 

4.4 Competencia 

2.5, 4.7 

4.5 Planeacion 

2.5, 4.7 

4.6 Desempeho de la labor 
de auditorfa 

2.5, 4.7 

4.7 Reportes 

2.5, 4.7 

4.8 Actividades de 
seguimiento 

2.5, 4.7 


CobiT 3 a edicion 

CobiT 

4.1 

Ml Monitorear los procesos. 

1.1 Recolectar datos de 
vigilancia 

1.2 

1.2 Evaluar desempeho 

1.4 

1.3 Evaluar la satisfaccion 
del cliente 

1.2 

1.4 Reportes a la gerencia 

1.5 

M2 Evaluar suficiencia de controles 
internos. 

2.1 Vigilancia de controles 
internos 

2.2 

2.2 Operacion oportuna de 
controles internos 

2.1 

2.3 Reportes sobre el nivel 
de los controles internos 

2.2, 2.3 

2.4 Seguridad operativa y 
Aseguramiento del control 
interno 

2.4 

M3 Recabar aseguramiento 
independiente. 

3.1 

Certificacion/acreditacion 
independiente de seguridad 

2.5, 4.7 
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CobiT 4.1 


Referenda Cruzada: CobiT 4.1a CobiT 3 a Edicion 


CobiT 4.1 

CobiT 3 a 
Edicion 

P01 Definir un plan estrategico de Tl. 

1.1 Administrar el valor de Tl 

5.3 

1.2 Alineacion de Tl con el 
negocio 

Nuevo 

1.3 Evaluacion del desempeno 
y la capacidad actual 

1.7, 1.8 

1.4 Plan estrategico de Tl 

1.1, 1.2, 

1.3, 1.4, 1.6, 
AI1.2,AI1.3 

1.5 Planes tacticos de Tl 

1.5 

1.6 Administracion del 
portafolio de Tl 

Nuevo 

P02 Definir la Arquitectura de la Informacion 

2.1 Modelo de arquitectura de 
informacion empresarial 

2.1 

2.2 Diccionario de datos 
empresarial y reglas de sintaxis 
de datos 

2.2 

2.3 Esquema de clasificacion 
de datos 

2.3, 2.4, 
DS5.8 

2.4 Administracion de 
integridad 

Nuevo 

P03 Determinar la Direccion Tecnologica. 

3.1 Planeacion de la direccion 
tecnologica 

3.1, 3.3, 3.4 

3.2 Plan de infraestructura 
tecnologica 

Nuevo 

3.3 Monitoreo de tendencias y 
regulaciones futuras 

3.2 

3.4 Estandares tecnologicos 

3.5 

3.5 Consejo de arquitectura de 

Tl 

3.5 

P04 Definir los procesos, organizacion y 
relaciones de Tl. 

4.1 Marco de trabajo de 
procesos de Tl 

Nuevo 

4.2 Comite estrategico de Tl 

Nuevo 

4.3 Comite directivo de Tl 

4.1 

4.4 Ubicacion organizacional 
de la funcion de Tl 

4.2 

4.5 Estructura Organizacional 

4.3 

4.6 Establecimiento de roles y 
responsabilidades 

4.4, 4.12 

4.7 Responsabilidad de 
aseguramiento de calidad de Tl 

4.5 

4.8 Responsabilidad sobre el 
riesgo, la seguridad y el 
cumplimiento 

4.6 

4.9 Propiedad de datos y de 
sistemas 

4.7, 4.8 

4.10 Supervision 

4.9 

4.11 Segregacion de funciones 

4.10 

4.12 Personal de Tl 

4.11 

4.13 Personal clave de Tl 

4.13 


CobiT 4.1 

CobiT 3 a 
Edicion 


11.10, 

11.16, 

11.17,11.19 

8.3 Estandares de desarrollo y 
de adquisicion 

11.5, 

11.6,11.7 

8.4 Enfoque en el cliente de Tl 

Nuevo 

8.5 Mejora continua 

Nuevo 

8.6 Medicion, monitoreo y 
revision de la calidad 

11.18 

P09 Evaluar y administrar los riesgos de Tl. 

9.1 Alineacion de la 
administracion de riesgos de Tl 
y del negocio 

9.1, 9.4, 9.8 

9.2 Establecimiento del 
contexto del riesgo 

9.1, 9.4 

9.3 Identificacion de eventos 

9.3, 9.4 

9.4 Evaluacion de riesgos de Tl 

9.1, 9.2, 9.4 

9.5 Respuesta a los riesgos 

9.5, 9.6, 9.7 

9.6 Mantenimiento y monitoreo 
de un plan de accion de riesgos 

Nuevo 

P010 Administrar proyectos. 

10.1 Marco de trabajo para la 
administracion de programas 

Nuevo 

10.2 Marco de trabajo para la 
administracion de proyectos 

10.1 

10.3 Enfoque de 
administracion de proyectos 

Nuevo 

10.4 Compromiso de los 
interesados 

10.2 

10.5 Declaracion de alcance 
del proyecto 

10.4 

10.6 Inicio de las fases del 
proyecto 

10.5, 10.6 

10.7 Plan integrado del 
proyecto 

10.7 

10.8 Recursos del proyecto 

10.3 

10.9 Administracion de riesgos 
del proyecto 

10.10 

10.10 Plan de calidad del 
proyecto 

10.8 

10.11 Control de cambios del 
proyecto 

Nuevo 

10.12 Planeacion del proyecto 
y metodos de aseguramiento 

10.9 

10.13 Medicion del 
desempeno, reportes y 
monitoreo del proyecto 

Nuevo 

10.14 Cierre del proyecto 

10.13 (part) 


CobiT 4.1 

CobiT 3 a 
Edicion 

4.14 Polfticas y procedimientos 
para personal contratado 

4.14 

4.15 Relaciones 

4.15 

P05 Administrar la inversion en Tl. 

5.1 Marco de trabajo para la 
administracion financiera 

Nuevo 

5.2 Prioridades dentro del 
presupuesto de Tl 

Nuevo 

5.3 Proceso Presupuestal 

5.1, 5.3 

5.4 Administracion de costos 
de Tl 

5.2, 5.3 

5.5 Administracion de 
beneficios 

5.3 

P06 Comunicar las aspiraciones y la 
direccion de la gerencia. 

6.1 Ambiente de polfticas y de 
control 

6.1 

6.2 Riesgo corporativo y marco 
de referencia de control interno 
de Tl 

6.8 

6.3 Administracion de polfticas 
para Tl 

6.2, 6.3, 

6.5, 6.6, 

6.7, 

6.9,6.10, 

6.11 

6.4 Implantacion de polfticas 
de Tl 

6.2, 6.3, 

6.4, 6.5, 6.6, 
6.7, 6.9, 

6.10, 6.11 

6.5 Comunicacion de los 
objetivos y la direccion de Tl 

6.2, 6.3, 

6.5, 6.6, 6.7, 
6.9, 6.10, 
6.11 

P07 Administrar recursos humanos de Tl. 

7.1 Reclutamiento y retencion 
del personal 

7.1 

7.2 Competencias del personal 

7.2 

7.3 Asignacion de roles 

Nuevo 

7.4 Entrenamiento del 
personal de Tl 

7.3, DS7.3 

7.5 Dependencia sobre los 
individuos 

7.4 

7.6 Procedimientos de 
investigacion del personal 

7.5 

7.7 Evaluacion del desempeno 
del empleado 

7.6 

7.8 Cambios y terminacion de 
trabajo 

7.7, 7.8 

P08 Administrar la calidad. 

8.1 Sistema de administracion 
de calidad 

11.2, 

11.3,11.4 

8.2 Estandares y practicas de 
calidad 

11.5, 

11.6,11.7, 

11.8,11.9, 


CobiT 4.1 

CobiT 3 a 
Edicion 

All Identificar soluciones automatizadas 

1.1 Definicion y mantenimiento 
de los requerimientos tecnicosy 
funcionales del negocio 

1.1, 1.9, 
1.10, 1.11, 
1.12 

1.2 Reporte de analisis de 
riesgos 

1.8, 1.9, 
1.10 

1.3 Estudio de factibilidad y 
formulacion de cursos de accion 
alternatives 

1.3, 1.7, 
1.12 

1.4 Requerimientos, decision de 
factibilidad y aprobacion 

Nuevo 


CobiT 4.1 

CobiT 3 a 
Edicion 

AI2 Adquirir y mantener software aplicativo. 

2.1 Disefio de alto nivel 

2.1, 2.2 

2.2 Disefio detallado 

2.2, 2.4, 

2.5, 2.6, 

2.7, 2.8, 

2.9, 2.10, 
2.11, 2.13, 
2.17 

2.3 Control y posibilidad de 
auditar las aplicaciones 

2.12, 2.14 

2.4 Seguridad y disponibilidad 
de las aplicaciones 

2.12 


CobiT 4.1 

CobiT 3 a 
Edicion 

2.5 Configuracion e 
implantacion de software 
aplicativo adquirido 

Nuevo 

2.6 Actualizaciones importantes 
en sistemas existentes 

2.2 

2.7 Desarrollo de software 
aplicativo 

Nuevo 

2.8 Aseguramiento de la calidad 
del software 

2.15 

2.9 Administracion de los 
requerimientos de aplicaciones 

Nuevo 

2.10 Mantenimiento de 

Nuevo 


184 


© 2007 IT Governance Institute. All rights reserved, www.itgi.org 




Apendice V 


CobiT 4.1 

CobiT 3 a 
Edicion 

AI5 Adquirir recursos de Tl. 

5.1 Control de adquisicion 

1.2, 1.3, 

1.4, 1.13, 
1.14 

5.2 Administracion de contratos 
con proveedores 

DS2.3, 

DS2.5 

5.3 Seleccion de proveedores 

1.4, DS2.4 

5.4 Adquisicion de recursos de 

Tl 

1.15, 1.16, 
1.17, 1.18 

AI6 Administrar cambios. 

6.1 Estandares y 
procedimientos para cambios 

3.6, 6.1 

6.2 Evaluacion de impacto, 
priorizacion y autorizacion 

6.2 

6.3 Cambios de emergencia 

DS10.4, 

6.4 

6.4 Seguimiento y reporte del 
estatus de cambio 

6.1 

6.5 Cierre y documentacion del 
cambio 

6.5 

AI7 Instalar y acreditar soluciones y cambios. 

7.1 Entrenamiento 

P010.ll, 

P010.12, 

5.1 

7.2 Plan de prueba 

P010.ll, 
P011. 12, 


CobiT 4.1 

CobiT 3 a 
Edicion 

software aplicativo 


AI3 Adquirir y mantener infraestructura 
tecnologica. 

3.1 Plan de adquisicion de 
infraestructura tecnologica 

P03.4, 

1.18, 3.1, 
3.3, 3.4 

3.2 Proteccion y disponibilidad 
del recurso de infraestructura 

1.18, 3.1, 
3.3, 3.4, 

3.7 

3.3 Mantenimiento de la 
infraestructura 

1.18, 3.1, 
3.3, 3.4, 

3.5, 3.7 

3.4 Ambiente de prueba de 
factibilidad 

Nuevo 

AI4 Facilitar la operacion y el uso. 

4.1 Plan para soluciones de 
operacion 

4.1 

4.2 Transferencia de 
conocimiento a la gerencia del 
negocio 

P011.ll, 

4.2 

4.3 Transferencia de 
conocimiento a usuarios finales 

P011.ll, 2. 
16, 4.4 

4.4 Transferencia de 
conocimiento al personal de 
operaciones y soporte 

P011.ll, 2. 
16, 4.3, 4.4 


CobiT 4.1 

CobiT 3 a 
Edicion 


POll. 13, 
P011. 14, 
POll. 15, 
5.3, 5.6 

7.3 Plan de implantacion 

3.6, 5.3 

7.4 Ambiente de prueba 

P011.12, 
P011.13, 
P011.14, 
POll. 15, 
2.15, 5.7 

7.5 Conversion de sistemas y 
datos 

5.4, 5.5 

7.6 Prueba de cambios 

5.2, 5.7, 

5.8, 5.10, 
5.11 

7.7 Prueba de aceptacion final 

5.9 

7.8 Promocion a produccion 

5.12 

7.9 Revision posterior a la 
implantacion 

5.13, 5.14 


CobiT 4.1 

CobiT 3 a 
Edicion 

4.3 Recursos cnticos de Tl 

4.4, 4.10 

4.4 Mantenimiento del plan 
de continuidad de Tl 

4.5 

4.5 Pruebas del plan de 
continuidad de Tl 

4.6 

4.6 Entrenamiento del plan 
de continuidad de Tl 

4.7 

4.7 Distribucion del plan de 
continuidad de Tl 

4.8 

4.8 Recuperacion del plan 
de continuidad de Tl 

4.9, 4.11 

4.9 Almacenamiento de 
respaldos fuera de las 
instalaciones 

4.12, 11.25 

4.10 Revision post 
reanudacion 

4.13 

DS5 Garantizar la seguridad de los sistemas. 

5.1 Administracion de la 
seguridad de Tl 

5.1, 5.12 

5.2 Plan de seguridad de Tl 

Nuevo 

5.3 Administracion de 
identidad 

5.2, 5.3, 5.9, 
5.14, AI6.6 

5.4 Administracion de 
cuentas de usuario 

5.4, 5.5, 
5.6,5.13, 10.4 

5.5 Pruebas, vigilancia y 
monitoreo de la seguridad 

5.6, 5.7, 5.10 

5.6 Definicion de incidente 
de seguridad 

5.11 

5.7 Proteccion de la 
tecnologfa de seguridad 

5.17 

5.8 Administracion de 

Haves criptograficas 

5.18 

5.9 Prevencion, deteccion y 
correccion de software 
malicioso 

5.19 

5.10 Seguridad de la red 

5.20 

5.11 Intercambio de datos 
sensitivos 

5.15, 5.16, 
11.29, 13.8 

DS6 Identificar y asignar costos. 

6.1 Definicion de servicios 

6.1 

6.2 Contabilizacion de Tl 

6.3 


CobiT 4.1 

CobiT 3 a 
Edicion 

6.3 Modelacion de costos y 
cargos 

6.2 

6.4 Mantenimiento del 
modelo de costos 

6.3 

DS7 Educar y entrenar a los usuarios. 

7.1 Identificacion de 
necesidades de 
entrenamiento y educacion 

7.1 

7.2 Imparticion de 
entrenamiento y educacion 

7.2 

7.3 Evaluacion del 
entrenamiento recibido 

Nuevo 

DS8 Administrar la mesa de servicio y los 
incidentes. 

8.1 Mesa de servicios 

8.1 

8.2 Registro de consultas 
de clientes 

8.2, 10.3 

8.3 Escalamiento de 
incidentes 

8.2, 8.3, 10.5 

8.4 Cierre de incidentes 

8.2 

8.5 Analisis de tendencias 

8.1 

DS9 Administrar la configuracion. 

9.1 Repositorio y ifnea base 
de configuracion 

9.1, 9.2, 9.8 

9.2 Identificacion y 
mantenimiento de 
elementos de configuracion 

9.7, 9.8 

9.3 Revision de integridad 
de la configuracion 

9.3, 9.4, 9.5 

DS10 Administrar los problemas. 

10.1 Identificacion y 
clasificacion de problemas 

8.5, 10.1, 10.5 

10.2 Rastreo y resolucion 
de problemas 

Nuevo 

10.3 Cierre de problemas 

8.4, 10.1 

10.4 Integracion de las 
administraciones de 
cambios, configuracion y 
problemas 

10.1 

DS11 Administrar los datos. 

11.1 Requerimientos del | Nuevo 


CobiT 4.1 

CobiT 3 a 
Edicion 

DS1 Definir y administrar los niveles de 
servicio. 

1.1 Marco de trabajo de la 
administracion de los 
niveles de servicio 

1.1, 1.3 

1.2 Definicion de servicios 

Nuevo 

1.3 SLA 

1.2, 1.6 

1.4 OLA 

Nuevo 

1.5 Monitoreo y reporte del 
cumplimiento de los niveles 
de servicio 

1.4 

1.6 Revision de los SLA y de 
los contratos 

1.5, 1.7 

DS2 Administrar los servicios de terceros. 

2.1 Identificacion de todas 
las relaciones con 
proveedores 

2.1 

2.2 Gestion de relaciones 
con proveedores 

2.2 

2.3 Administracion de 
riesgos del proveedor 

P011.10, 

2.6, 2.7 

2.4 Monitoreo del 
desempeno del proveedor 

2.8 

DS3 Administrar el desempeno y la 
capacidad. 

3.1 Planeacion del 
desempeno y la capacidad 

AI5.2, 3.1, 3.4 

3.2 Capacidad y 
desempeno actual 

3.7 

3.3 Capacidad y 
desempeno futures 

3.5, 3.6 

3.4 Disponibilidad de 
recursos de Tl 

3.2, 3.8, 3.9 

3.5 Monitoreo y reporte 

3.3 

DS4 Garantizar la continuidad del servicio. 

4.1 Marco de trabajo de 
continuidad de Tl 

4.1, 4.2 

4.2 Planes de continuidad 
de Tl 

4.3 
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CobiT 4.1 

CobiT 3 a 
Edicion 

negocio para 
administracion de datos 


11.2 Acuerdos de 
almacenamiento y 
conservacion 

11.12, 11.19, 
11.20, 11.26, 
11.30 

11.3 Sistema de 
administracion de librerfas 
de medios 

11.21, 11.22, 
11.25 

11.4 Eliminacion 

11.18, 11.24 

11.5 Respaldo y 
restauracion 

AI2.14, 11.23 

11.6 Requerimientos de 

11.16, 11.17, 


CobiT 4.1 

CobiT 3 a 
Edicion 

DS13 Administrar las operaciones. 

13.1 Procedimientos e 
instrucciones de operacion 

13.1, 13.2, 

13.5, 13.6 

13.2 Programacion de 
tareas 

13.3, 13.4 

13.3 Monitoreo de la 
infraestructura de Tl 

Nuevo 

13.4 Documentos 
sensitivos y dispositivos de 
salida 

5.21, 13.7 

13.5 Mantenimiento 
preventivo del hardware 

AI3.2 


CobiT 4.1 

CobiT 3 a 
Edicion 

seguridad para la 
administracion de datos 

11.27 

DS12 Administrar el ambiente fisico. 

12.1 Seleccion y diseno del 
centra de datos 

12.1, 12.2, 

12.4 

12.2 Medidas de seguridad 
ffsica 

12.1, 12.2 

12.3 Acceso fisico 

10.4, 12.3 

12.4 Proteccion contra 
factores ambientales 

12.5 

12.5 Administracion de 
instalaciones fisicas 

12.4, 12.6, 

12.9 


CobiT 4.1 

CobiT 3 a 
Edicion 

ME1 Monitorear y evaluar el desempeho de 

Tl 

1.1 Enfoque del monitoreo 

1.0* 

1.2 Definicion y recoleccion 
de datos de monitoreo 

1.1, 1.3 

1.3 Metodo de monitoreo 

Nuevo 

1.4 Evaluacion del 
desempeho 

1.2 

1.5 Reportes al consejo 
directivo y a ejecutivos 

1.4 

1.6 Acciones correctivas 

Nuevo 

ME2 Monitorear y evaluar el control interno. 

2.1 Monitoreo del marco de 
trabajo de control interno 

2.0*, 2.2 

2.2 Revisiones de auditoria 

2.1, 2.3 

2.3 Excepciones de control 

Nuevo 

2.4 Control de auto 
evaluacion 

2.4 


CobiT 4.1 

CobiT 3 a 
Edicion 

2.5 Aseguramiento del 
control interno 

Nuevo 

2.6 Control interno para 
terceros 

3.6 

2.7 Acciones correctivas 

Nuevo 

ME3 Garantizar el cumplimiento con 
requisitos externos 

3.1 Identificar los 
requerimientos de las leyes, 
regulaciones y 
cumplimientos 
contra ctuales 

P08.1, P08.3, 
P08.4, 

P08.5,P08.6, 

DS12.4 

3.2 Optimizar la respuesta 
a requerimientos externos 

P08.2 

3.3 Evaluacion del 
cumplimiento con 
requerimientos externos 

Nuevo 

3.4 Aseguramiento positivo 

Nuevo 


CobiT 4.1 

CobiT 3 a 
Edicion 

del cumplimiento 


3.5 Reportes integrados 

Nuevo 

ME4 Proporcionar gobierno de Tl 

4.1 Establecimiento de un 
marco de gobierno de Tl 

Nuevo 

4.2 Alineamiento 
estrategico 

Nuevo 

4.3 Entrega de valor 

Nuevo 

4.4 Administracion de 

recursos 

Nuevo 

4.5 Administracion de 
riesgos 

Nuevo 

4.6 Medicion del 
desempeho 

Nuevo 

4.7 Aseguramiento 
independiente 

Nuevo 


* ME1.0 y ME2.0 se introdujeron en las Practicas de Control publicadas por ITGI en 2004. 
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Apendice VI 


Apendice VI - Aproximacion a Investigacion y 

Desarrollo 

El desarrollo del contenido del marco de trabajo de CobiT es supervisado por el Comite Directivo de CobiT, formado por representantes 
internacionales de la industria, la academia, el gobierno corporativo, gobierno de Tl, aseguramiento, control yseguridad de Tl. Se han 
establecido grupos internacionales de trabajo con el proposito del aseguramiento de la calidad y la revision experimentada de los 
entregables provisionales del proyecto, tanto de investigacion como de desarrollo. La conduccion general del proyecto la realiza el 
Instituto de gobierno de Tl (ITGI) (IT Governance Institute). 

EDICIONES PR E VI AS DE COBIT 


Empezando con el marco de trabajo de CobiT definido en la primera edicion, la aplicacion de estandares internacionales, las 
directrices y la investigacion de las mejores practicas condujeron a la elaboracion de los objetivos de control. Despues se 
desarrollaron las directrices de auditona para evaluar si estos objetivos de control se implementan de forma apropiada. La 
investigacion en la primera y segunda edicion incluyo la recoleccion y el analisis de fuentes internacionales identificadas y fue 
realizada por nuestros equipos en Europa (Universidad Free de Amsterdam), los EUA (Universidad Politecnica de California) y Australia 
(Universidad de Nuevo Gales del Sur). Los investigadores se encargaron de la recopilacion, revision, evaluacion y la adecuada 
inclusion de estandares tecnicos internacionales, codigos de conducta, estandares de calidad, estandares profesionales de auditona, 
y practicas y requisites industriales, conforme su relacion al marco de trabajo y a los objetivos individuales de control. Despues de la 
recoleccion y el analisis, los investigadores se enfrentaron al reto de examinar cada dominio y proceso a profundidad, y sugerir 
objetivos de control nuevos o modificados aplicables a ese proceso de Tl en particular. La consolidacion de los resultados la realizo el 
Comite Directivo de CobiT. 

El proyecto de la 3 a Edicion de CobiT consistio en el desarrollo de directrices gerenciales y de la actualizacion de la 2 a Edicion de CobiT 
con base en referencias internacionales nuevas y corregidas. Ademas, el marco de trabajo de CobiT se reviso y se mejoro para apoyar 
un mejor control administrative, introducir la administracion del desempeno y evolucionar mas aun el gobierno de Tl. Para 
proporcionar a la gerencia una aplicacion del marco de trabajo, de tal forma que pueda evaluar y tomar decisiones de implantacion y 
mejora de los controles sobre su informacion y sobre la tecnologfa relacionada, asf como medir el desempeno, las directrices de 
administracion incluyen modelos de madurez, factores crfticos de exito, KGIs y KPIs relacionados con los objetivos de control. 

Las directrices gerenciales se elaboraron usando un panel mundial de 40 expertos provenientes de la academia, del gobierno y de la 
profesion de gobierno, aseguramiento, control y seguridad de Tl. Estos expertos participaron en un taller residencial dirigido por 
facilitadores profesionales, usando directrices de desarrollo definidas por el comite directivo de CobiT. El taller recibio un fuerte apoyo 
del Grupo Gartner y de PricewaterhouseCoopers, quienes brindaron no solo un liderazgo de pensamiento, sino que tambien enviaron 
a varios de sus expertos en control, administracion del desempeno y seguridad de informacion. Los resultados del taller fueron 
bosquejos de modelos de madurez, CSFs, KGIs y KPIs para cada uno de los 34 objetivos de alto nivel de CobiT. El aseguramiento de la 
calidad de los entregables iniciales fue conducido por el comite directivo de CobiT y los resultados se publicaron en el sitio web de 
ISACA. El documento de directrices gerenciales ofrecio un nuevo conjunto de herramientas orientadas a la administracion, mientras 
que al mismo tiempo brindaron integracion y consistencia con el marco de trabajo de CobiT. 

La actualizacion de los objetivos de control en la 3 a Edicion de CobiT, con base en referencias internacionales nuevas y corregidas, fue 
realizada por miembros de los capftulos de ISACA, bajo la direccion de los miembros del Comite Directivo de CobiT. La intencion no fue 
realizar un analisis global de todo el material o re-elaborar los objetivos de control, sino proporcionar un proceso de actualizacion 
creciente. Los resultados de la elaboracion de las directrices gerenciales se usaron entonces para corregir el marco de trabajo de 
CobiT, en especial las consideraciones, metas y declaraciones facilitadores de los objetivos de control de alto nivel. La 3 a edicion de 
CobiT se publico en Julio del 2000. 

LA ULTIMA ACTIVIDAD DEL PROYECTO DE ACTUALIZACION 


En su esfuerzo por evolucionar de forma continua el cuerpo de conocimiento de CobiT, El Comite Directivo de CobiT dio inicio en los 
ultimos dos afios a actividades de investigacion sobre varios aspectos detallados de CobiT. Estos proyectos de investigacion 
focalizados contemplaron a los componentes de los objetivos de control y a las directrices gerenciales. Algunas areas especfficas que 
se abarcaron se listan a continuacion: 

Investigacion de los Objetivos de Control 

• CobiT— Alineacion de abajo hacia arriba del gobierno de Tl. 

• CobiT— Alineacion de arriba hacia abajo del gobierno de Tl. 

• CobiT y otros estandares detallados— Equivalencias detalladas entre CobiT y ITIL, CMM, COSO, PMBOK, Los estandares de Buenas 
Practicas para ia Seguridad de la Informacion de ISF y ISO 27000 para facilitar la armonizacion con esos estandares en idioma, 
definiciones y conceptos. 
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investigation de las Directrices Gerenciales 

• Analisis de relaciones causales KGI-KPI 

• Revision de ia calidad de los KGIs/KPIs/CSFs— con base en el analisis de reacciones causales de los KPI/KGI, separando los CSFs 
(factores crfticos de exito), en “lo que se necesita de otros” y en “lo que usted necesita hacer por usted mismo” 

• Analisis detailado de los conceptos de metricas— Elaboracion detallada con expertos en metricas para mejorar los conceptos de 
estas, por medio de la construccion de una cascada de metricas “proceso-TI-negocio” y por medio de la definicion de criterios de 
calidad para las metricas 

• Union de las metas del negocio, las metas de Tl y los procesos de Tl— Investigacion detallada de ocho diferentes industrias, lo que 
genero un entendimiento mas detailado de como los procesos de CobiT dan soporte al logro de metas especfficas de Tl y, como 
consecuencia natural, de las metas del negocio; los resultados entonces se generalizaron. 

• Revision del contenido del modelo de madurez — Consistencia y calidad aseguradas de los niveles de madurez, entre y dentro de los 
procesos, incluyendo mejores definiciones de los atributos del modelo de madurez. 

Todos estos proyectos fueron iniciados y supervisados por el Comite Directivo de CobiT, mientras que la administracion y el 
seguimiento del dfa a dfa fueron ejecutados por un equipo central mas pequeno de CobiT. La ejecucion de la mayorfa de los proyectos 
de investigacion antes mencionados, se baso de manera considerable en la experiencia y en el equipo voluntario de los miembros de 
ISACA, en los usuarios de CobiT, y en consultores y academicos expertos. Se establecieron grupos locales de desarrollo en Bruselas 
(Belgica), Londres (Inglaterra), Chicago (Illinois, EUA), Canberra (Territorio capital Australiano), Ciudad del Cabo (Sudafrica), 

Washington (DC, EUA) y Copenhague (Dinamarca), en donde se reunieron en promedio de 5 a 10 usuarios de CobiT, dos o tres veces 
al aho, para trabajar sobre investigaciones especfficas o para revisar las tareas asignadas por el equipo central de CobiT. Ademas, 
algunos proyectos especfficos de investigacion se asignaron a escuelas de negocio, tales como la Escuela de Administracion de 
Amberes (UAMS, por sus siglas en ingles) y la Universidad de Flawai. 

Los resultados de estos esfuerzos de investigacion, junto con la retroalimentacion proporcionada por los usuarios de CobiT a lo largo 
de los afios, y los problemas observados durante el desarrollo de nuevos productos como las practicas de control, se han introducido 
al proyecto principal de CobiT para actualizar y mejorar los objetivos de control de CobiT, las directrices gerenciales y el marco de 
trabajo. Se condujeron dos laboratories importantes, cada uno con la participacion de mas de 40 expertos en gobierno, 
administracion y control de Tl (administradores, consultores, academicos y auditores) provenientes de todo el mundo, para revisar y 
para actualizar a fondo los objetivos de control y el contenido de las directrices gerenciales. Grupos mas pequehos adicionales 
trabajaron para refinar o finalizar los productos significativos generados en estos importantes eventos. 

El borrador final estuvo sujeto a un proceso de revision con exposicion completa con 100 interesados aproximadamente. Los 
numerosos comentarios recibidos fueron analizados en un taller de revision final por el Comite Directivo de CobiT. 

El Comite Directivo de CobiT, el equipo central de CobiT e ITGI procesaron los resultados de estos talleres, para crear el nuevo material 
de CobiT disponible en este volumen. La existencia de CobiT Online® significa que hoy en dfa existe la tecnologfa para mantener 
actualizado el contenido central de CobiT de forma mas sencilla, y este recurso se utilizara como el repositorio maestro del contenido 
de CobiT. Se le dara mantenimiento con los comentarios provenientes de la base de usuarios, asf como con revisiones periodicas de 
areas de contenido especffico. Se generaran publicaciones periodicas (en papel y electronicas) para dar soporte a las referencias 
fuera de Ifnea hacia el contenido de CobiT. 
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Apendice VII - Glosario 

Actividad— Las medidas principales tomadas para operar el proceso COBIT. 

Administracion de la configuracion— El control de cambios realizados a un conjunto de componentes de la configuracion a lo largo del 
ciclo de vida del sistema. 

Administracion del desempefio— La capacidad de administrar cualquier tipo de medicion incluyendo mediciones de empleados, 
equipo, proceso, operativas o financieras. El termino denota un control de ciclo cerrado y la vigilancia periodica de la medicion. 

Analisis de causa rafz— Proceso de aprendizaje a partir de las consecuencias, tfpicamente de los errores y problemas. 

Arquitectura de la informacion— Ver arquitectura de Tl. 

Arquitectura de Tl— Un marco integrado para evolucionar o dar mantenimiento a Tl existente y adquirir nueva Tl para alcanzar las 
metas estrategicas y de negocio de la empresa. 

Arquitectura empresarial para Tl— Respuesta en la entrega de Tl, provista por procesos claramente definidos usando sus recursos 
(aplicaciones, informacion, infraestructura y personas). 

Arquitectura empresarial— Mapa de rutas tecnologicas orientada al negocio para el logro de las metas y objetivos de negocio. 

Atencion al usuario— El unico punto de contacto dentro de la organizacion de Tl para los usuarios de los servicios prestados por TL 

Autenticacion— El acto de verificar la identidad de un usuario y su elegibilidad para acceder a la informacion computarizada. La 
autenticacion esta disenada para proteger contra conexiones de acceso fraudulentas. 

Balcanced Scorecard— Un metodo para medir las actividades de una empresa en terminos de su vision y estrategias, proporcionando 
una vista rapida e integral del desempefio del negocio a la gerencia. Es una herramienta administrativa cuyo fin es medir un negocio 
desde las siguientes perspectivas: financiera, del cliente, del negocio y del aprendizaje (Robert S. Kaplan y David Norton, 1992). 

Capacidad— Contar con los atributos necesarios para realizar o lograr. 

CEO— Director ejecutivo. 

CFO— Director financiera. 

CIO— Director de informacion [algunas veces Director de Tecnologfa (CTO, por sus siglas en ingles)]. 

Cliente— Una persona o una entidad externa o interna que recibe los servicios empresariales de Tl 

Comite estrategico de Tl— Comite al nivel del Consejo Directivo para garantizar que el consejo participe en las principales decisiones 
del tema de TL 

Componente de la configuracion (Cl) — Componente de una infraestructura— o un artfculo, como una solicitud de cambio, asociado 
con una infraestructura— la cual esta (o estara) bajo el control de la administracion de configuraciones. Los CIs pueden variar 
ampliamente en complejidad, tamano y tipo, desde un sistema completo (incluyendo todo el hardware, software y documentacion) 
hasta un solo modulo o un componente menor de hardware. 

Continuidad— Prevenir, mitigar y recuperarse de una interrupcion. Los terminos “planear la reanudacion del negocio”, “planear la 
recuperacion despues de un desastre" y “planear contingencies” tambien se pueden usar en este contexto; todos se concentran en 
los aspectos de recuperacion de la continuidad. 

Control aplicativo— Un conjunto de controles integrados dentro de las soluciones automatizadas (aplicaciones). 

Control de accesos —El proceso que limita y controla el acceso a los recursos de un sistema computacional; un control logico o ffsico 
disefiado para brindar proteccion contra la entrada o el uso no autorizados. 

Control de deteccion— Un control que se usa para identificar eventos (indeseables o deseados), errores u otras ocurrencias con efecto 
material sobre un proceso o producto final, de acuerdo a lo definido por la empresa. 

Control general— Tambien control general de TL Un control que se aplica al funcionamiento general de los sistemas de Tl de la 
organizacion y a un conjunto amplio de soluciones automatizadas (aplicaciones). 

Control Interno —Las polfticas, procedimientos, practicas y estructuras organizacionales disefiadas para brindar una garantfa 
razonable de que los objetivos del negocio se alcanzaran y de que los eventos indeseables seran prevenidos o detectados y 
corregidos 

Control preventivo— Un control interno que se usa para prevenir eventos indeseables, errores u otras ocurrencias que pudieran tener 
un efecto material negativo sobre un proceso o producto final, de acuerdo a la organizacion. 

Control— Las polfticas, procedimientos, practicas y estructuras organizacionales disefiadas para proporcionar una garantfa razonable 
de que los objetivos del negocio se alcanzaran y los eventos no deseados seran prevenidos o detectados 

COSO— Comite de organizaciones patrocinadoras de la comision Treadway. Estandar aceptado a nivel internacional para el gobierno 
corporativo. Ver www.coso.org. 

CSF— Factor crftico de exito (FCE). 
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DCO— Objetivos de control detallados. Los DCOs son componentes de un objetivo de control en particular. 

Declaracion de auditona— Documento que define el proposito, la autoridad y la responsabilidad de la actividad de auditorfa interna, 
aprobado por el consejo. 

Desempefio— La implantacion real o el logro de un proceso. 

Diccionario de datos empresarial— El nombre, tipo, rango de valores, fuente, sistema de registro, y autorizacion de acceso para cada 
elemento de datos utilizado en la empresa. Indica cuales programas aplicativos usan esos datos, de tal forma que cuando se 
contemple una estructura de datos, se pueda generar una lista de los programas afectados. Ver P02.2. 

Diccionario de datos— Un conjunto de meta-datos que contiene definiciones y representaciones de elementos de datos. 

Directriz— La descripcion de un modo particular de lograr algo, la cual es menos prescriptiva que un procedimiento. 

Dominio— Agrupacion de objetivos de control en etapas logicas en el ciclo de vida de inversion en Tl 

Duefios de datos— Individuos, por lo general gerentes o directores, que tienen la responsabilidad de la integridad, el uso y el reporte 
preciso de los datos computarizados 

Empresa— Un grupo de individuos que trabajan juntos para un fin comun, por lo general dentro del contexto de una forma 
organizacional, como una corporacion agenda publica, entidad de caridad o fondo. 

Esquema de clasificacion de datos— Un esquema empresarial para clasificar los datos por factores tales como criticidad, sensibilidad 
y propiedad. 

Estandar— Una practica de negocio o producto tecnologico que es una practica aceptada, avalada por la empresa o por el equipo 
gerencial de Tl. Los estandares se pueden Implementar para dar soporte a una polftica o a un proceso, o como respuesta a una 
necesidad operativa. Asf como las polfticas, los estandares deben incluir una descripcion de la forma en que se detectara el 
incumplimiento. 

Evaluacion por comparacion (Benchmarking)— Un proceso utilizado en administracion, en particular en la administracion estrategica, 
en el cual las compamas evaluan varios aspectos de sus procesos de negocio con respecto a las mejores practicas, por lo general 
dentro de su propia industria. 

Gobierno— El metodo por medio del cual una organizacion es dirigida, administrada o controlada. 

Incidente— Cualquier evento que no sea parte de la operacion estandar de un servicio que ocasione, o pueda ocasionar, una 
interrupcion o una reduccion de la calidad de ese servicio (alineado a ITIL). 

Infraestructura— La tecnologfa, los recursos humanos y las instalaciones que permiten el procesamiento de las aplicaciones. 

ISO 17799— Codigo de practica para la administracion de la seguridad de la informacion de la Organizacion Internacional para la 
Estandarizacion (ISO). 

ISO 27001— Gestion de Seguridad de la Informacion- Especificacion con gufa para su uso; la sustituta a la BS7799-2. Ideada para 
proporcionar los fundamentos en auditoria a terceros e armonizacion con otros estandares, tales como ISO/IEC 9001 y 14001. 

ISO 9001:2000— Codigo de practica para la administracion de la calidad de la Organizacion internacional para la Estandarizacion 
(ISO). El ISO 9001:2000 especifica los requisitos para un sistema de administracion de calidad para cualquier organizacion que 
necesite demostrar su habilidad para ofrecer productos de manera consistente que satisfagan al cliente, a los requisitos regulatorios 
aplicables y que desee aumentar la satisfaccion del cliente. 

ITIL — Librerfa de Infraestructura de Tl de la Oficina de Gobierno Gubernamental del Reino Unido (OGC).Un conjunto de lineamientos 
sobre la administracion y procuracion de servicios operativos de Tl. 

KGI— Indicador clave de meta. 

KPI— Indicador clave de desempefio. 

Madurez— Indica el grado de confiabilidad o dependencia que el negocio puede tener en un proceso, al alcanzar las metas y objetivos 
deseados. 

Marco de control— Una herramienta para los duefios de los procesos de negocio que facilita la descarga de sus responsabilidades a 
traves de la procuracion de un modelo de control de soporte. 

Marco de trabajo— Ver Marco de control. 

Matriz RACI— llustra quien es responsable, quien debe rendir cuentas, a quien se debe consultar e informar dentro de un marco de 
trabajo organizacional estandar. 

Metrica— Un estandar para medir el desempefio contra la meta. 

Modelo de madurez de la capacidad (CMM)— El modelo de madurez de la capacidad para software (CMM), del Instituto de Ingenieria 
de Software (SEI), es un modelo utilizado por muchas organizaciones para identificar las mejores practicas, las cuales son 
convenientes para ayudarles a evaluar y mejorarla madurez de su proceso de desarrollo de software. 

Objetivo de control— Una declaracion del resultado o proposito que se desea alcanzar al Implementar procedimientos de control en un 
proceso en particular. 
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OLA— Acuerdo a nivel operativo. Un acuerdo interno que cubre la prestacion de servicios que da soporte a la organizacion de Tl en su 
prestacion de servicios. 

Organizacion— La manera en que una empresa esta estructurada. 

Plan de infraestructura tecnologica— Un plan para el mantenimiento y desarrollo de la infraestructura tecnologica. 

Plan estrategico de Tl— Un plan a largo plazo, Ej., con un horizonte de tres a cinco anos, en el cual la gerencia del negocio y de Tl 
describen de forma cooperativa como los recursos de Tl contribuiran a los objetivos estrategicos empresariales (metas) 

Plan tactico de Tl— Un plan a mediano plazo, Ej., con un horizonte de seis a dieciocho meses, que traduzca la direccion del plan 
estrategico de Tl en las iniciativas requeridas, requisitos de recursos y formas en las que los recursos y los beneficios seran 
supervisados y administrados 

PMBOK— Cuerpo de conocimiento de administracion de proyectos, un estandar para administracion de proyectos desarrollado por el 
Instituto de Administracion de Proyectos (PMI). 

PMO— Director de administracion de proyectos. 

Polftica— Por lo general, un documento que ofrece un principio de alto nivel o una estrategia a seguir. El proposito de una polftica es 
influenciar y guiar la toma de decisiones presente y futura, haciendo que esten de acuerdo a la filosoffa, objetivos y planes 
estrategicos establecidos por los equipos gerenciales de la empresa. Ademas del contenido de la polftica, esta debe describir las 
consecuencias de la falta de cumplimiento de la misma, el mecanismo para manejo de excepciones y la manera en que se verificara y 
medira el cumplimiento de la polftica. 

Portafolio —Una agrupacion de programas, proyectos, servicios o activos seleccionados, administrados y vigilados para optimizar el 
retorno sobre la inversion. 

Practica de control— Mecanismo clave de control que apoya el logro de los objetivos de control por medio del uso responsable de 
recursos, la administracion apropiada de los riesgos y la alineacion de Tl con el negocio 

Practicas de administracion clave— Las principales practicas de administracion que el dueho del proceso debe realizar para alcanzar 
las metas del proceso 

PRINCE2— Proyectos en un ambiente controlado, un metodo de administracion de proyectos que cubre la administracion, el control y 
la organizacion de un proyecto 

Problema— Causa subyacente desconocida de uno o mas incidentes 

Procedimiento— Una descripcion de una manera particular de lograr algo; una forma establecida de hacer las cosas; una serie de 
pasos que se siguen en un orden regular definido, garantizando un enfoque consistente y repetitivo hacia las actividades. 

Proceso de negocio— Ver Proceso. 

Proceso— Por lo general, un conjunto de procedimientos influenciados por las polfticas y estandares de la organizacion, que toma las 
entradas provenientes de un numero de fuentes, incluyendo otros procesos, manipula las entradas, y genera salidas, incluyendo a 
otros procesos, para los clientes de los procesos. Los procesos tienen razones claras de negocio para existir, duehos responsables, 
roles claros y responsabilidades alrededor de la ejecucion del proceso, asf como los medios para medir el desempeno. 

Programs aplicativo— Un programs que process los datos del negocio a lo largo de las actividades, tales como la captura, 
actualizacion o consulta de datos. Contrasts con los programas de sistemas, tales como un sistema operativo o un programs de 
control de redes, y con los programas utilitarios, tales como copiar (copy) o clasificar (sort). 

Programs— Una agrupacion estructurada de proyectos independientes que incluye el alcance completo del negocio, del proceso, de 
las personas, de la tecnologfa y las actividades organizacionales que se requieren (tanto necesarias como suficientes) para lograr un 
resultado de negocios claramente especificado. 

Proveedor de servicios— Organizacion externa que presta servicios a la organizacion. 

Proyecto— Un conjunto estructurado de actividades relacionadas con la entrega de una capacidad definida a la organizacion (la cual 
es necesaria, aunque no suficiente para lograr un resultado de negocios requerido) con base en un cronograma y presupuesto 
acordado. 

QMS— Sistema de administracion de la calidad. Un sistema que describe las polfticas y procedimientos necesarios para mejorary 
controlar los distintos procesos que al final conduciran a un desempeno mejorado del negocio. 

Resistencia— La capacidad de un sistema o red para recuperarse de forma automatica de una interrupcion, por lo general con un 
efecto reconocible mfnimo. 

Riesgo— El potencial de que una amenaza especffica explote las debilidades de un activo o grupo de activos para ocasionar perdida 
y/o daho a los activos. Por lo general se mide por medio de una combinacion del impacto y la probabilidad de ocurrencia. 

SDLC— Ciclo de vida del desarrollo de sistemas. Las fases utilizadas en el desarrollo o adquisicion de un sistema de software. Las 
fases tfpicas incluyen al estudio de factibilidad, el estudio de los requerimientos, la definicion de requerimientos, el diseno detallado, 
la programacion, las pruebas, la instalacion y la revision post-implantacion. 

Segregacion/separacion de tareas— Un control interno basico que previene y detecta errores o irregularidades por medio de la 
asignacion a individuos diferentes, de la responsabilidad de iniciar y registrar las transacciones y la custodia de los activos. 
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SLA— Acuerdo de nivel de servicio. Acuerdo por escrito entre un proveedor de servicios y los usuarios del cliente, el cual documenta los 
niveles de servicio acordados para un servicio prestado. 

Tablero de control de inversion en Tl— Graficar costos y retornos sobre la inversion de los proyectos de inversion en Tl en terminos de 
valor de negocio para la empresa. 

Tablero de control— Una herramienta para establecer las expectativas de una organizacion en cada nivel y para comparar de forma 
continua el desempeno contra las metas establecidas. 

TCO— Costo total de la propiedad. En Tl incluye: 

• Coste original del ordenador y del software 

• Actualizaciones de hardware y software 

• Mantenimiento 

• Soporte tecnico 

• Entrenamiento 

• Ciertas actividades desarrolladas por los usuarios. 

Tl— Tecnologfa de informacion. 

Usuario— Una persona que utiliza los sistemas empresariales. 
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Apendice VIII - CobiT y Productos Relacionados 

El marco CobiT, en las versiones 4.0 y superiores, incluye todos los siguientes: 

• Marco de trabajo - Explica como CobiT organiza la gestion de gobierno de Tl y los objetivos de control y las mejores practicas por 
dominios de Tl y procesos y los enlaza a requerimientos de negocio. 

• Descripciones de procesos - Incluyen 34 procesos de Tl cubriendo las areas de responsabilidad de Tl desde inicio a fin. 

• Objetivos de control - Proporcionan las mejores practicas genericas de los objetivos de gestion para los procesos de Tl 

• Directrices Gerenciales - Ofrece herramientas para ayudar a asignar responsabilidad, medicion del desempeno, y benchmark y 
brechas de direccionamiento en capacidad. 

• Modelos de madurez - Proporciona perfiles de procedimientos de Tl describiendo posibles estados actuates y futuros. 

En los afios desde su inicio, el nucleo de contenido de CobiT ha continuado para evolucionar, y el numero de trabajos derivados 
basados en CobiT ha aumentado. Lo siguiente son las publicaciones actuates derivadas de CobiT: 

• Board Briefing on IT Governance, 2nd Edition - Disenado para ayudar a los ejecutivos a comprender porque el gobierno Tl es 
importante, cuales son sus preguntas y cual es su responsabilidad para la gestion. 

• CobiT Online - Permite a los usuarios personalizar una version de CobiT a su propia empresa, entonces almacenar y manipular que 
version desea. Ofrece en Ifnea, encuestas en tiempo real, preguntas resueltas frecuentes, comparativas y lugares de discusion para 
compartir experiencias y cuestiones. 

• CobiT Control Practices: Guidance to Achieve Control Objectives for Successful IT Governance, 2nd Edition - Proporciona una gufa 
sobre los riesgos a evitar y el valor a ganar desde la implementacion de los objetivos de control, y instruccion de como implementar 
el objetivo. Las practicas de control son muy recomendadas para el uso con la gufa de implementacion de Gobierno de Tl: Utilizando 
CobiT y Val Tl, 2 a edicion. 

• IT Assurance Guide: Using CobiT -Proporciona gufa de como CobiT puede emplearse para soportar una variedad de actividades de 
aseguramiento y ofrece pasos de prueba sugeridos para todos los procesos de Tl de CobiT y objetivos de control. Reemplaza la 
informacion en las gufas de Auditoria para auditar y asesorar por si mismo contra los objetivos de control en CobiT 4.1 

• IT Control Objectives for Sarbanes-Oxley: The Role of IT in the Design and Implementation of Internal Control Over Financial 
Reporting, 2nd Edition - Proporciona gufa sobre como asegurar cumplimiento para el entorno de Tl basado en el control de los 
objetivos de control. 

• IT Governance Implementation Guide: Using CobiT and Val IT, 2nd Edition - Proporciona un mapa ruta generico para la 
implementacion de gobierno de Tl empleando los recursos CobiT y Val Tl y un kit de herramientas de soporte. 

• CobiT Quickstart - proporciona una Ifnea base de control para lar organizaciones mas pequehas y un posible primer paso para las 
grandes empresas. 

• CobiT Security Baseline- Enfocado en los pasos esenciales para implementar la seguridad de la informacion dentro de la empresa. 
La segunda edicion esta en desarrollo en el momento de escribir este documento. 

• Mapeos de CobiT - actualmente publicados en www.isaca.org/downloads: 

- Aligning CobiT, ITIL and ISO 17799 for Business Benefit 

- CobiT Mapping: Overview of International IT Guidance, 2nd Edition 

- CobiT Mapping: Mapping of ISO/I EC 17799:2000 With CobiT, 2nd Edition 

- CobiT Mapping: Mapping of PM BO K With CobiT 4.0 

- CobiT Mapping: Mapping of SETs CMM for Software With CobiT 4.0 

- CobiT Mapping: Mapping of ITIL With CobiT 4.0 

- CobiT Mapping: Mapping of PRINCE2 With CobiT 4.0 

• Information Security Governance: Guidance for Boards of Directors and Executive Management, 2nd Edition - Presenta la seguridad 
de la informacion en terminos de negocio y contiene herramientas y tecnicas para ayudar a cubrir problemas de seguridad 
relacionados. 

Val Tl es el paraguas empleado para describir las publicaciones y productos futuros adicionales y actividades de direccionamiento del 
marco Val Tl 

Las publicaciones actuates relacionadas con Val Tl son: 

• Enterprise Value: Governance of IT Investments— The Val IT Framework, que explica como una empresa puede extraer valor optimo 
de investigaciones permitidas de Tl y esta basado en el marco CobiT. Se organiza en: 

- Tres procesos- Valor de gobierno, gestion de porta folios y gestion de inversiones. 

- Practicas de gestion claves de Tl-Practicas de gestion esencial que influyen positivamente para conseguir el resultado deseado o 
el proposito de una actividad particular. Soportan los procesos de Val Tl yjuegan aproximadamente el mismo role que los 
objetivos de control de CobiT. 

• Enterprise Value: Governance of IT Investments— The Business Case, que enfoca en un elemento clave de la inversion de los 
procesos de gestion 

• Enterprise Value: Governance of IT Investments— The ING Case Study, que describe como una compahfa de servicios financieros 
mundial gestiona un porta folio de inversiones de Tl en el contexto del marco Val TL 


Para una completa y actualizada informacion sobre CobiT, Val Tl y productos relacionados, casos de estudio, oportunidades de 
entrenamiento, novedades y otra informacion especffica de marcos de trabajo, visitar www.isaca.org/cobit y www.isaca.org/valit. 
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